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Die f olgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 

(m) Kommunikationssystem und -Verfahren 
@ Das erfindungsgemal3e System umfafSt ein virtuelles 
privates Netzwerk (15) und eine externe Vorrichtung 
(12(m)), welche durch ein digitales Netzwerk (14) mitein- 
ander verbunden sind. Das virtuelle private Netzwerk (15) 
weist eine Firewall (30), wenigstens eine interne Vorrich- 
tung (31(s)) und einen Namen-Server (32) auf, welche je- 
weits eine Netzwerkadresse besitzen. Die interne Vorrich- 
tung (31 (s)) besitzt auch eine Sekundaradresse, und der 
Namen-Server (32) ist derart konfiguriert, daQ> er eine Zu- 
ordnung zwischen der Sekundaradresse und der Netz- 
werkadresse bereitstellt. In Reaktion auf eine Anf rage von 
der externen Vorrichtung (12(m)) zum Aufbau einer Ver- 
bindung zur Firewall (30) ubermittelt die Firewall (30) der 
externen Vorrichtung (12(m)) die Netzwerkadresse des 
Namen-Servers (32). In Reaktion auf eine Anfrage von ei- 
nem Bediener oder ahnlichem, welche die Sekundarad- 
resse der internen Vorrichtung (31(s)) enthalt und einen 
" Zugriff an die interne Vorrichtung (31(s)) anfordert, er- 
f zeugt die externe Vorrichtung (12(m)) eine Netzwerk- 
adressen-Anfragenachricht zur Ubertragung uber die Ver- 
bindung an die Firewall (30), welche eine Auflosung der 
Netzwerkadresse, die der Sekundaradresse zugeordnet 
ist, anfordert. Die Firewall (30) ubermittelt die Adressen- 
auflosungsanfrage an den Namen-Server (32), und der 
Namen-Server (32) ubermittelt die Netzwerkadresse, wel- 
che der Sekundaradresse zugeordnet ist, an die Firewall 
(30). Daraufhin stelltdie Firewall (30) die Netzwerkadresse 
in einer ... 
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Beschreibung 

Die Erfindung betrifft allgemein das Gebiet der digitalen 
Kommunikationssysteme und -verfahren, und insbesondere 
Systeme und Verfahren zum Vereinfachen der Kommunika- 
tion zwischen Vorrichtungen, welche mit offentlichen Netz- 
werken verbunden sind, z. B. dem Internet, und Vorrichtun- 
gen, welche mit privaten Netzwerken verbunden sind. 

Digitale Netzwerke wurden entwickelt, um die IJbertra- 
gung von Information, welche auch Daten und Programme 
umfaBt, iiber digitale Computersysteme und andere Digital- 
vorrichtungen zu ermoglichen. Es wurde eine ^^elzahl von 
Arten von Netzwerken entwickelt und realisiert, einschlieB- 
Uch sog. Femverbindungshetze (Wide-Area Networks, 
nachfolgend "WAN" genannt) und lokale Netzwerke (Local 
Area Networks, nachfolgend "LAN" genannt), welche eine 
Information unter Verwendung verschiedener Informations- 
ubertragungsmethoden iibermitteln. Im allgemeinen werden 
LANs innerhalb kleiner geographischer Bereiche realisiert, 
z. B. innerhalb eines einzelnen Biirogebaudes oder ahnli- 
chem, zum Ubertragen von Information innerhalb eines be- 
stimmten Biiros, einer Firma oder einer ahnlichen Art von 
Organisationseinheit. Andererseits werden WANs im allge- 
meinen auf relativ groBen geographischer Bereichen reali- 
siert und konnen verwendet werden, um Information sowohl 
zwischen LANs als auch zwischen Vorrichtungen, welche 
nicht mit LANs verbunden sind, zu ubertragen. Derartige 
WANs umfassen auch offentliche Netzwerke, z. B. das In- 
ternet, welche zur Informationsubertragung zwischen einer 
Anzahl von Untemehmen verwendet werden konnen. 

Es sind mehrere Probleme im Zusammenhang der Kom- 
munikation iiber ein Netzwerk aufgetreten, insbesondere in 
einem groBen ofFenthchen WAN, wie es z. B. das Internet 
ist. Im allgemeinen werden Informationen iiber ein Netz- 
werk in Nachrichtenpaketen iibertragen, welche ausgehend 
von einer Voirichtung, als Quelle bzw. Quellenvorrichtung, 
zu einer anderen Vorrichtung, als Ziel bzw. Zielvorrichtung, 
iiber einen oder meiirere Router oder aUgemein Schaltungs- 
knoten im Netzwerk iibertragen werden. Jedes Nachrichten- 
paket enthalt eine Zieladresse, welche von den Schaltungs- 
knoten verwendet wird, um das jeweiUge Nachrichtenpaket 
an die geeignete Zielvorrichtung zu leiten. Z.B. im Internet 
haben solche Adressen die Form von "n"-Bit Zahlen (wobei 
"n" 32 Oder 128 sein kann), wobei solche Zahlenkolonnen 
fiir einen Benutzer schwierig sind zu merken und einzuge- 
ben, wenn die oder der Benutzer die Ubertragung eines 
Nachrichtenpakets veranlassen mochte. Um einen Benutzer 
von der Notwendigkeit zu befreien, sich solche spezifische 
Zahlen-Intemetadressen zu merken und einzugeben, stellt 
das Internet einen zweiten Adressierungsmechanismus be- 
reit, der durch Benutzer der jeweiligen Vorrichtungen einfa- 
cher handzuhaben ist. Bei diesem Adressierungsmechanis- 
mus werden Internet-Domains, wie etwa LANs, Intemet- 
Service-Provider (nachfolgend "ISP" genannt) und ahnli- 
che, welche im Internet verbunden sind, durch fiir einen Be- 
nutzer relativ einfach les- und merkbare Namen identifiziert, 
die nachfolgend als "Klartexmamen" bezeichnet werden. 
Um den Einsatz von solchen Klartextnamen umzusetzen, 
werden Namen-Server, auch als DNS-Server fur "Domain 
Name Server" bezeichnet, bereitgestellt, um die Klartextna- 
men in die geeignelen Inlemetadressen umzuwandeln. 
Wenn ein Bediener einer Vorrichtung, der die Ubertragung 
eines Nachrichtenpakets an eine andere Vorrichtung 
wiinscht, den Klartextnamen der anderen Vorrichtung ein- 
gibt, nimmt die Vorrichtung zuerst Kontakt mit einem Na- 
men-Server auf. Im allgemeinen kann der Namen-Server ein 
Teil des ISP selbst sein oder er kann eine spezieUe Vorrich- 
tung sein, welche durch den ISP iiber das Internet zugang- 



Uch ist; in jedem FaU wird der ISP den Namen-Server iden- 
tifizieren, welcher fiir die Vorrichtung zu verwenden ist, 
wenn sich die Vorrichtung beim ISP einloggt, d. h. anmel- 
det. Falls der Namen-Server, nachdem die Vorrichtung einen 
5 Kontakt hergesteUt hat, eine Zahlen-Intemetadresse fiir den 
Klartext-Domainnamen besitzt oder erhalten kann, iibermit- 
telt der Namen-Server die Zahlen-Intemetadresse, welche 
dem Klartext-Domainnamen entspricht, zu der Vorrichtung 
des Bedieners. Die Vorrichtung kann sodann die Zahlen-In- 

10 temetadnesse, welche von dem Namen-Server zuriickgesen- 
det wurde, in das Nachrichtenpaket einfiigen und das Nach- 
richtenpaket an den ISP fiir die Ubertragung iiber das Inter- 
net auf konventioneller Weise liefem. Die Intemet-Schal- 
lungsknoten verwenden die Zahlen-Intemetadresse, um das 

15 Nachrichtenpaket an die gewiinschte Zielvorrichtung zu 
iibermitteln. 

Andere Probleme treten insbesondere in Verbindung mit 
der Ubertragung von Information iiber ein offentliches 
WAN, z. B. das Internet, auf. Ein Problem besteht darin, si- 

20 cherzustellen, daB die iiber das WAN ubertragene Informa- 
tion, welche die Quellenvorrichtung und die Zielvorrichtung 
vertraulich behalten mochten, auch tatsachlich vertraulich 
bleibt gegeniiber moglichen Lauschem, welche die Informa- 
tion abfangen konnen. Um die Vertraulichkeit zu wahren, 

25 wurden verschiedene Formen von Verschliisselung entwik- 
kelt und werden verwendet, um die Information vor der 
Ubertragung durch die Quellenvorrichtung zu verschliisseln 
und die Information nach deren Empfang durch die Zielvor- 
richtung zu entschliisseln. Falls gewiinscht wird, daB bei- 

30 spielsweise die gesamte Information, welche zwischen einer 
bestinraiten Quellenvorrichtung und einer bestimmten Ziel- 
vorrichtung iibertragen wird, vertraulich bleiben soil, kon- 
nen die Vorrichtungen einen sog. "Sicherheitstunnel" zwi- 
schen den Vorrichtungen einrichten, der im wesentlichen si- 

35 cherstelit, daB die gesamte Information, welche von der 
Quellenvorrichtung an die Zielvorrichtung iibertragen wird, 
vor der Ubertragung verschliisselt wird (mit Ausnahme von 
bestimmten ProtokoUinformationen, wie Adresseninforma- 
tion, welche den FluB von Netzpaketen iiber das Netzwerk 

40 zwischen der Quellen- und Zielvorrichtung steuert), und daB 
die verschliisselte Information vor der Verwendung durch 
die Zielvorrichtung entschliisselt wird. Die Quellen- und 
Zielvorrichtungen konnen jeweils fiir sich eine Verschliisse- 
lung bzw. Entschliisselung durchfiihren, oder die Verschliis- 

45 selung und Entschliisselung kann durch andere \ferrichtun- 
gen durchgefiihrt werden, bevor die Nachrichtenpakete iiber 
das Intemet iibertragen werden. 

Ein weiteres Problem, welches insbesondere im Zusam- 
menhang mit Untemehmen, Regierungsamtem und privaten 

50 Qrganisationen auftritt, deren private Netzwerke, welche 
LANs, WANs Oder etwaige Kombinationen derselben sein 
konnen, mit offentlichen WANs, z. B. dem Intemet, verbun- 
den sind, besteht darin, sicherzusteUen, daB deren private 
Netzwerke sicher sind gegeniiber anderen Netzwerken, zu 

55 welchen z. B. die Untemehmen keinen Zugriff haben moch- 
ten, Oder einen Zugriff durch andere zu regulieren und zu 
kontroUieren, zu welchen z. B. die jeweiligen Organisatio- 
nen einen begrenzten Zugriff haben mochten. Um dies um- 
zusetzen, verbinden die Qrganisationen in der Regel ihre 

60 privaten Netzwerke mit offentlichen WANs iiber eine be- 
grenzte Anzahl von Gateways, welche manchmal als "Fire- 
walls" bezeichnet werden, durch welche der gesamte Netz- 
verkehr zwischen dem intemen und dem offentlichen Netz- 
werk lauft. In der Regel sind Netzwerkadressen von Do- 

65 mains und Vorrichtungen in dem privaten Netzwerk "hinter" 
der Firewall den Namen-Servera bekannt, welche in den pri- 
vaten Netzwerken vorgesehen sind; sie sind aber nicht zu- 
ganglich fiir Namen-Server oder andere Vorrichtungen au- 
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Berhalb der privaten Netzwerke, was die Konununikation 
zwischen einer Vorrichtung auBerhalb des privaten Netz- 
werkes und einer Vorrichtung innerhalb des privaten Netz- 
werkes schwierig macht. 

Ein Ziel der vorliegend Erfindung ist es, hier Abhilfe zu 5 
schaffen. 

Dieses Ziel erreicht die Erfindung durch die Gegenstande 
der Anspruche 1, 7 und 13. Bevorzugte Ausfuhrungsbei- 
spiele der Erfindung sind in den jeweils abhangigen Ansprii- 
chen beschrieben. 10 

Danach schafft die Erfindung ein neuartiges und verbes- 
sertes System und ein Verfahren zum Vereinfachen von 
Kommunikation zwischen Vorrichtungen, welche mil 6f- 
fentlichen Netzwerken, z. B. dem Internet, verbunden sind, 
und Vorrichtungen, welche mit privaten Netzwerken ver- is 
bunden sind, wobei die Auflosung von Sekundaradressen, 
wie etwa Text- bzw. Klartextnamen im Internet, in die zuge- 
horigen Netzwerkadressen durch Namen-Server oder ahnli- 
che Vorrichtungen, die mit den privaten Netzwerken ver- 
bunden sind, ermogUcht wird. 20 

Hierfur stellt die Erfindung ein System zur Verfiigung mit 
einem virtueUen Privaten Netzwerk und einer extemen Vor- 
richtung, welche durch ein digitales Netzwerk miteinander 
verbunden sind, sowie ein Konununikationsverfahren und 
ein Computerprogrjinraiprodukt zum gemeinsamen Verwen- 25 
den mit einem derartiges System. Das virtuelle private Netz- 
werk weist eine Firewall bzw. ein Firewall-System, wenig- 
stens eine interne Vorrichtung und einen Namen-Server auf, 
welche jeweils eine Netzwerkadresse besitzen. Die interne 
Vorrichtung besitzt femer eine Sekundaradresse, und der 30 
Namen-Server ist derart konfiguriert, daB er eine Zuordnung 
zwischen der Sekundaradresse und der Netzwerkadresse be- 
reitstellt. In Reaktion auf eine Anfi-age von der extemen 
Vorrichtung zum Aufbau einer Verbindung zur Firewall 
iibermittelt die Firewall der extemen Vorrichtung die Netz- 35 
werkadresse des Namen-Servers. In Reaktion auf eine An- 
frage von einem Bediener oder ahnlichem, welche die Se- 
kundaradresse der intemen Vorrichtung enthalt und einen 
Zugriff an die interne Vorrichtung anfordert, erzeugt die ex- 
teme Vorrichtung eine Netzwerkadressen-Anfragenachricht 40 
zur Ubertragung uber die Verbindung an die Firewall, wel- 
che eine Auflosung der Netzwerkadresse, die der Sekunda- 
radresse zugeordnet ist, anfordert. Die Firewall ubermittelt 
die Adressenauflosungsanfi-age an den Namen-Server und 
der Namen-Server iibermittelt die Netzwerkadresse, welche 45 
der Sekundaradresse zugeordnet ist, an die Firewall. Darauf- 
hin stellt die Firewall die Netzwerkadresse in einer Netz- 
werkadressenantwortnachricht zur Ubertragung uber die 
Verbindung an die exteme Vorrichtung bereit. Die exteme 
Vorrichtung kann sodann die auf diese Weise bereitgesteUte 50 
Netzwerkadresse in nachfolgenden an die interne Vorrich- 
tung gerichtete Kommunikationen mit der Firewall verwen- 
den. 

Weitere Vorteile und Ausgestaltungen der Erfindung erge- 
ben sich aus der nachfolgenden detaillierten Beschreibung 55 
eines bevorzugten Ausfuhrungsbeispiels. In der Beschrei- 
bung wird auf die beigefugte schematische Zeichnung Be- 
zug genonunen. Darin zeigt: 

Fig. 1 ein funktionelles Blockdiagramm eines erfindungs- 
gemaBen Netzwerkes. 60 

Fig. 1 zeigt ein funktionelles Blockdiagramm eines Netz- 
werkes 10, welches gemaB der vorliegenden Erfindung auf- 
gebaut ist. Das Netzwerk 10 gemaB Fig. 1 umfaBt einen In- 
temet-Service-Provider(nachfolgend "ISP") 11, welcherdie 
Ubertragung von Nachrichtenpaketen zwischen einer oder 65 
mehreren Vorrichtungen 12(1) bis 12(M) (nachfolg'end all- 
gemeinen mit dem Bezugszeichen 12(m) idendfiziert), wel- 
che mit dem ISP 11 verbunden sind, und anderen Vorrich- 



tungen, welche aUgemein durch ein Bezugszeichen 13 ge- 
kennzeichnet sind, uber das Internet 14 ermoglicht, wobei 
die Ubertragung von Information in Nachrichtenpaketen 
zwischen den Vorrichtungen 12(m) und 13 realisiert wird. 
Der ISP 11 verbindet das Intemet 14 uber eine oder mehrere 
logische Verbindungen oder Gateways oder ahnlichem (im 
vorliegenden aUgemein als "Verbindungen" bezeichnet), 
welche aUgemein durch das Bezugszeichen 41 gekennzeich- 
net sind. Der ISP 11 kann ein offentUcher ISP sein, welcher 
in diesem FaUe die Verbindung mit Vorrichtungen 12(m) 
hersteUt, welche durch Bediener betrieben werden konnen, 
die der aUgemeinen Offentlichkeit angehoren, so daB diese 
Bediener Zugang zu dem Intemet erlangen. Altemativ dazu 
kann der ISP 11 ein privater ISP sein. In diesem FaUe wer- 
den die damit verbundenen Vorrichtungen 12(m) im aUge- 
meinen beispielsweise durch AngesteUte eines bestimmten 
Unteraehmens oder einer Regierungseinrichtung, MitgUe- 
dem von einer privaten Organisation oder ahnlichen betrie- 
ben, um diesen AngesteUten oder Mitglieder einen Zugang 
in das Intemet bereit zu steUen. 

In an sich konventioneUer Weise weist das Intemet ein 
Netz von Schaltungsknoten auf (welche nicht separat daige- 
steUt sind), welche die ISPs 11 und die Vorrichtungen 13 
miteinander verbinden, um dazwischen die Obertragung 
von Nachrichtenpaketen zu ermoglichen. Die Nachrichten- 
pakete, welche iiber das Internet 14 iibertragen werden, 
stimmen mit denjenigen iiberein, welche durch das sog. In- 
temetprotokoU (IP) definiert werden, und umfassen einen 
Kopfabschnitt, einen Datenabschnitt und konnen einen Feh- 
lererfassungs- und/oder Korrekturabschnitt aufweisen. Der 
Kopfabschnitt enthalt Information, welche verwendet wird, 
um das Nachrichtenpaket iiber das Intemet 14 zu iibertra- 
gen, beispielsweise eine Zieladresse, welche die \brrich- 
tung identifiziert, welche das Nachrichtenpaket als Zielvor- 
richtung empfangen soli, und eine QueUenadresse, welche 
diejenige Vorrichtung identifiziert, welche das Nachrichten- 
paket erzeugt hat. In jedem Nachrichtenpaket haben die 
Ziel- und QueUenadresse jeweils die Form einer Zahl, wel- 
che eindeutig die jeweiUge Ziel- bzw. QueUenvorrichtung 
identifiziert. Die Schaltungsknoten im Intemet 14 verwen- 
den wenigstens die Zieladresse eines jeweiUgen Nachrich- 
tenpaketes, um das jeweiUge Nachrichtenpaket an die Ziel- 
vorrichtung zu iibermitteln, wenn die Zielvorrichtung an das 
Intemet angeschlossen ist, oder an einen ISP 11 oder andere 
Vorrichtungen, welche an das Intemet 14 angeschlossen 
sind, welche sodann das Nachrichtenpaket an das geeignete 
Ziel senden werden. Der Datenabschnitt eines jeden Nach- 
richtenpakets enthalt die in dem Nachrichtenpaket ubertra- 
genen Daten; und der Fehlererfassungs- und/oder Korrek- 
turabschnitt enthalt Fehlererfassungs- und/oder Korrektur- 
informationen, welche verwendet werden konnen, um zu 
verifizieren, daB das Nachrichtenpaket in korrekter Weise 
von der QueUe zu der Zielvorrichtung iibertragen wurde (im 
Fall der Fehlererfassungsinformalion), und um ausgewahlte 
Arten von Fehlem zu korrigieren, faUs das Nachrichtenpa- 
ket nicht korrekt iibertragen wurde (im FaUe der Fehlerkor- 
rekturinformation). 

Die Vorrichtungen 12(m), welche mit dem ISP 11 verbun- 
den sind, konnen jede beUebige Anzahl von Arten von Vor- 
richtungen umfassen, welche iiber das Intemet 14 mit ande- 
ren Vorrichtungen 13 kommunizieren, umfassend z. B. Per- 
sonalcomputer. Computer- Workstations und ahnUches. Jede 
Vorrichtung 12(m) kommuniziert mit dem ISP 11, um Nach- 
richtenpakete fiir die Ubertragung iiber das Intemet 14 an 
diesen zu iibertragen, oder um Nachrichtenpakete, welche 
durch den ISP 11 iiber das Internet empfangen werden, von 
diesem zu empfangen. Dabei kann jedes geeignete ProtokoU 
verwendet werden, z. B. das bekannte Point-to-Point Proto- 
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koll (allgemein mit "PPP" abgekiirzt), falls die Vorrichtung 
12(m) iiber eine Point-to-Point Verbindung mit dem ISP 11 
verbunden isl, oder irgendein konventionelles "Multi-Drop" 
Protokoll, falls die Vorrichtung 12(m) mit dem ISP 11 uber 
ein "Multi-Drop"-Netzwerk, z. B. das Ethernet, verbunden 5 
ist, oder ahnliches. Die Vorrichtungen 12(m) sind im allge- 
meinen entsprechend der iiblichen Computerarchitektur mit 
gespeicherten Programmen aufgebaut, welche z. B. eine Sy- 
stemeinheit, eine Bildschirmanzeigeeinheit und Bediener- 
eingabeeinrichtungen, wie etwa eine Tastatur oder eine lo 
Maus, umfaBt. Eine Systemeinheit weist im allgemeinen 
eine oder mehrere Prozessor-, Speicher-, Massenspeicher- 
einrichtungen, z. B, Festplatten- und/oder Bandspeicherele- 
mente, oder andere Elemente (nichl separat gezeigt) auf, wie 
etwa Netzwerk- und/oder Telephcnschnittstelleneinrichtun- 15 
gen, um die jeweiUge Vorrichtung an den ISP 11 anzukop- 
peln. Die Prozessor- bzw. Verarbeitungseinrichtungen verar- 
beiten Programme, einschlieBlich Anwendungsprogramme, 
unter der Steuerung eines Betriebssystems, um verarbeitete 
Daten zu erzeugen. Die Bildschirmeinheit ermoglicht es der 20 
Vorrichtung, die verarbeiteten Daten und einen Verarbei- 
tungsstatus der Daten dem Benutzer anzuzeigen, und die 
Bedienereingabeeinrichtung ermoglicht es dem Bediener, 
Daten einzugeben und die Verarbeitung zu steuem. 

Diese Elemente der Vorrichtung 12(m) arbeiten in Ver- 25 
bindung mit einer geeigneten Programmierung so zusam- 
men, um eine Vorrichtung 12(m) mit einer Anzahl von funk- 
tioneUen Elementen bereit zustellen, beispielsweise eine 
BedienerschnittsteUe 20, eine NetzwerkschnittsteUe 21, ei- 
nen Nachrichtenpaketgenerator 22, einen Nachrichtenpaket- 30 
empfanger und -prozessor 23, eine ISP Einloggsteuerung 
bzw. Anmeldungssteuerung 24, einen Intemetparameter- 
speicher 25 und im Zusammenhang mit der vorliegenden 
Erfindung einen Sicherheits-Nachrichtenpaketprozessor 26. 
Die BedienerschnittsteUe 20 ermoglicht, daB die Vorrich- 35 
tung 12{m) Eingabeinformationen von der/den Bedienerein- 
gabevorrichtung(en) der Vorrichtung 12(m) empfangt und 
die Ausgabeinformationen dem Bediener auf der/den Bild- 
schirmeinrichtung(en) der Vorrichtung 12(m) angezeigt 
werden. Die NetzwerkschnittsteUe 21 ermogUcht eine Ver- 40 
bindung der Vorrichtung 12(m) mit dem ISP 11 unter Ver- 
wendung des geeigneten PPP oder NetzwerkprotokoUs, um 
Nachrichtenpakete an den ISP 11 zu ubertragen und von die- 
sem Nachrichtenpakete zu empfangen. Die Netzwerk- 
schnittsteUe 21 kann eine Verbindung mit dem ISP 11 iiber 45 
das offentliche Telefonnetz vorsehen, um einen Wahlverbin- 
dungsnetzwerkbetrieb (sog. Dial-Up Betrieb) der Vorrich- 
tung 12(m) iiber das offentliche Telefonnetz zu ermogli- 
chen. Altemativ oder zusatzUch dazu kann die Netzwerk- 
schnittsteUe 21 eine Verbindung durch den ISP 11 iiber bei- 50 
spielsweise ein konventioneUes LAN ermogUchen, wie 
etwa das Ethernet. In Reaktion auf eine durch die Bediener- 
schnittsteUe 20 gelieferte Eingabe und/oder in Reaktion auf 
Anfragen aus Programmen (nicht gezeigt), welche durch die 
Vorrichtung 12(m) verarbeitet werden, kommuniziert die 55 
ISP Einloggsteuerung 24 iiber die NetzwerkschnittsteUe 21, 
um die Initialisierung (sog. "Log-On") einer Kommunikati- 
onssitzung zwischen der Vorrichtung 12(m) und dem ISP 11 
zu ermoglichen. Wahrend dieser Kommunikationssitzung 
kann die Vorrichtung 12(m) Information in der Form von 60 
Nachrichtenpaketen an andere Vorrichtungen iiber das Inter- 
net 14 sowie an andere Vorrichtungen 12(m') (wobei m' 
m), welche mit der ISP 11 oder mit anderen ISPs verbunden 
sind, iibertragen. Wahrend eines Log-On-Betriebs empfangt 
die ISP Einloggsteuerung 24 die IntemetprotokoUparameter 65 
(IP-Parameter), welche im Zusammenhang mit einer Nach- 
richtenpaketerzeugung wahrend der Kommunikationssit- 
zung verwendet werden. 



Wahrend einer Kommunikationssitzung erzeugt der 
Nachrichtenpaketgenerator 22 Nachrichtenpakete zur tjber- 
tragung durch die NetzwerkschnittsteUe 21 in Reaktion auf 
eine Eingabe, welche durch den Bediener iiber die Bediener- 
schnittsteUe 20 geliefert wird und/oder in Reaktion auf An- 
fragen aus Programmen (nicht separat gezeigt), welche 
durch die Vorrichtung 12(m) verarbeitet werden. Die Netz- 
werkschnittsteUe 21 empfangt auch Nachrichtenpakete aus 
dem ISP 11 und Uefert diese an den Nachrichtenpaketemp- 
fanger und -prozessor 23 zur Verarbeitung und Bereitstel- 
lung an die BedienerschnittsteUe 20 und/oder anderen Pro- 
grammen (nicht gezeigt), welche durch die Vorrichtung 
12(m) verarbeitet werden. FaUs die empfangenen Nachrich- 
tenpakete eine Information enthalten, z. B. Web-Seiten oder 
ahnliches, welche dem Bediener angezeigt werden soU, 
kann die Information der BedienerschnittsteUe 20 geUefert 
werden, damit die Information auf der Bildschirmeinheit der 
Vorrichtung angezeigt wird. Zusatzlich oder altemativ dazu 
kann die Information an andere Programme (nicht gezeigt) 
zur Verarbeitung geUefert werden, welche durch die Vor- 
richtung 12(m) verarbeitet werden. 

Im aUgemeinen konnen die Elemente, wie die Bediener- 
schnittsteUe 20, der Nachrichtenpaketgenerator 22, der 
Nachrichtenpaketempfanger und -prozessor 23, die ISP Ein- 
loggsteuerung 24 und der Intemetparameterspeicher 25 Ele- 
mente eines konventioneUen Internet-Browsers enthalten, 
wie die von Mosaic, Netscape Navigator und Microsoft In- 
ternet Explorer. 

Wie es oben erwahnt wurde, weist die Vorrichtung 12(m) 
im Zusammenhang mit der vorUegenden Erfindung einen 
Sicherheits-Nachrichtenpaketprozessor 26 auf. Der Sicher- 
heits-Nachrichtenpaketprozessor 26 ermogUcht den Aufbau 
und Verwendung eines "Sicherheitstunnels" zwischen der 
Vorrichtung 12(m) und anderen Vorrichtungen 12(m') (wo- 
bei m' 9fc m) Oder 13, wie es welches weiter unten beschrie- 
ben wird. Im aUgemeinen wird in einem solchen Sicher- 
heitstunnel Information in wenigstens dem Datenabschnitt 
der zwischen der Vorrichtung 12 (m) und einer spezifischen 
anderen Vorrichtung 12(m') (wobei m' ^ m) oder 13 uber- 
tragenen Nachrichtenpakete geheimgehalten, beispielsweise 
durch Verschliisselung des Datenabschnittes vor der tJber- 
tragung durch die Quellenvorrichtung. Die Information in 
anderen Abschnitten eines derartigen Nachrichtenpakets 
kann ebenfaUs geheimgehalten werden, mit Ausnahme der 
Information, welche benotigt wird, um die Ubertragung des 
jeweiUgen Nachrichtenpakets zwischen den Vorrichtungen 
zu ermogUchen, also z. B. wenigstens die ZieUnformation, 
damit die Schaltungsknoten des Internets und die ISPs die 
Vorrichtung identifizieren konnen, welche das Nachrichten- 
paket empfangen soU. 

ZusatzUch zu dem ISP 11 kann eine Vielzahl von anderen 
ISPs die Verbindung zum Internet hersteUen, wie es durch 
die Pfeile 16 angedeutet ist, um eine Konununikation zwi- 
schen Vorrichtungen, welche an diesen anderen ISPs ange- 
schlossen sind, mit anderen Vorrichtungen uber das Internet 
zu ermogUchen, welche die Vorrichtungen 12(n), welche an 
dem ISP 11 angeschlossen sind, umfassen konnen. 

Die Vorrichtungen 13, auf welche die Vorrichtungen 
12(m) zugreifen und mit welchen diese kommunizieren, 
konnen auch von jeder beUebigen Anzahl von Arten von 
Vorrichtungen sein, einschUeBlich Personalcomputer, Com- 
puter-Workstations und ahnUches, oder auch Minicomputer 
und GroBrechner, GroBspeichersysteme, Rechenserver, lo- 
kale Netzwerke (LANs) und Femverbindungsnetzwerke 
(WANs), welche derartige Vorrichtungen und zahUeiche an- 
dere Arten von Vorrichtungen enthalten, die direkt oder in- 
direkt mit den Netzwerken verbunden werden konnen. Nach 
der vorUegenden Erfindung umfaBt wenigstens eine der Vor- 
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richtungen wenigstens ein privates Netzwerk, welches als 
vinueUes privates Netzwerk 15 gekennzeichnet ist und z. B. 
die Form eines LAN oder eines WAN haben kann. Das vir- 
tuelle private Netzwerk 15 kann jede der Vorrichtungen 
12(m") (wobei m' ^ m) aufweisen (wobei die Verbindung 5 
zu dem Internet 14 liber einen ISP erfolgt) oder der Vorrich- 
tungen 13 (wobei die Verbindung zu dem Internet 14 unmit- 
telbar erfolgt). Bei dem vorUegend beschriebenen Ausfuh- 
rungsbeispiel wird angenommen, daB das virtuelle Netz- 
werk 15 eine Vorrichtung 13 aufweist. Das virtuelle private to 
Netzwerk 15 umfaBt selbst mehrere Vorrichtungen, welche 
hier als eine Firewall bzw. ein Firewall-System 30, mehrere 
Server 31(1) bis 31(S) (im nachfolgenden aUgemein mit 
dem Bezugszeichen 31(s) angegeben) und ein Namen-Ser- 
ver 32 gekennzeichnet sind, wobei aUesamt durch eine 15 
Ubertragungsverbindung 33 miteinander verbunden sind. 
Die Firewall 30 und die Server 31(s) konnen ahnUch sein 
wie jede der verschiedenen Arten von Vorrichtungen 12(m) 
und 13, die hier beschrieben sind, und konnen daher bei- 
spielsweise umfassen Personalcomputer, Computer-Work- 20 
stations und ahnliches, aber auch Minicomputer und GroS- 
rechner, GroBspeichersysteme, Rechenserver, lokaie Netz- 
werke (LANs) und Femverbindungsnetzwerke (WANs), 
welche derartige Vorrichtungen und zahlreiche andere Arten 
von Vorrichtungen umfassen, welche direkt oder indirekt 25 
mit den Netzwerken verbunden werden konnen. 

Wie oben ausgefuhrt wurde, kommunizieren diese Vor- 
richtungen einschlieBlich der Vorrichtungen 12(m) und der 
Vorrichtungen 13 durch Ubertragung von Nachrichtenpake- 
ten uber das Internet. Die Vorrichtungen 12(m) und 13 kbn- 30 
nen Information in einem Peer-to-Peer bzw. gleichrangigem 
Modus, in einem Client-Server Modus oder nach beiden die- 
ser Modi iibertragen. Im allgemeinen iibertragt eine Vorrich- 
tung in einer Peer-to-Peer Nachrichtenpaketiibertragung In- 
formation in einem oder mehreren Nachrichtenpaketen an 35 
die andere Vorrichtung. Andererseits kann eine Vorrichtung, 
welche in einem Client-Server Modus als Client fungiert, 
ein Nachrichtenpaket an eine andere Vorrichtung iibertra- 
gen, welche als Server fungiert, um beispielsweise einen 
Dienst durch die andere Vorrichtung auszulosen. Mehrere 40 
Arten derartiger Dienste sind dem Fachmann bekannt, bei- 
spielsweise das Wiedergewinnen bzw. Auslesen von Infor- 
mation aus der anderen Vorrichtung, damit diese aktiviert 
wird, um Verarbeitungsoperationen und dergleichen durch- 
zufiihren. Falls der Server dazu dient, dem Client vor allem 45 
Informationen zu liefem, kann dieser allgeraein als ein Spei- 
cherserver bezeichnet werden. Falls der Server andererseits 
Verarbeitungsoperationen auf Anfrage des Client ausflihren 
soU, kann dieser allgemein als ein Rechnerserver bezeichnet 
werden. Andere Arten von Servem zum Ausfuhren von an- 50 
deren Arten von Diensten und Operationen auf Anfrage von 
Clients sind dem Fachmann ebenfalls bekannt. 

Wenn in einer Client-Server Anordnung eine Vorrichtung 
12(m) einen Dienst durch beispielsweise eine Vorrichtung 
13 ausgefuhrt haben mochte, erzeugt die Vorrichtung 12(m) 55 
eines oder mehrere Anfragenachrichtenpakete zur Ubertra- 
gung an die Vorrichtung 13, welche den benotigten Dienst 
anfordem. Das Anfragenachrichtenpaket enthalt die Inter- 
netadresse der Vorrichtung 13, welche als die Zielvorrich- 
tung das Nachrichtenpaket empfangt und den Dienst aus- 60 
fiihrt. Die Vorrichtung 12 (m) ubertragt das/die Anfragen- 
achrichtenpaket(e) an den ISP 11. Der ISP 11 ubertragt dar- 
aufhin das Nachrichtenpaket iiber das Internet an die Vor- 
richtung 13. 

Falls die Vorrichtung 13 die Form eines WAN oder LAN 65 
hat, empfangt das WAN oder LAN das/die Nachrichtenpa- 
ket(e) und leitet dieses/diese zu einer dort angeschlossenen 
Vorrichtung welter, welche den angeforderten Dienst aus- 



flihren soU. 

In jedem Fall wird die Vorrichtung 13, welche den ange- 
forderten Dienst ausfuhren soil, nach Empfang des/der An- 
fragenachrichtenpaket(e) die Anfrage bearbeilen. Falls die 
Vorrichtung 12(m), welche das/die Anfragenachrichtenpa- 
ket(e) erzeugt hat, oder deren Bediener die notwendigen Be- 
fugnisse hat, um den Dienst von der Vorrichtung 13 anzufor- 
dem, und falls der angeforderte Dienst die Einleitung einer 
Informationsiibertragung aus der Vorrichtung 13 als ein 
Speicherserver an die Vorrichtung 12(m) als ein Client um- 
faBt, erzeugt die Vorrichtung 13 eines oder mehrere Anl- 
wortnachrichtenpakete, welche die angeforderten Informa- 
tion enthalten, und ubertragt das/die Paket(e) iiber das Inter- 
net 14 an den ISP 11. Daraufhin ubertragt der ISP 11 das/die 
Nachrichtenpaket(e) an die Vorrichtung 12(m). Falls ande- 
rerseits der angeforderte Dienst die Einleitung eines Verar- 
beitungsvorganges durch die Vorrichtung 13 als ein Rechen- 
server beinhaltet, wird die Vorrichtung 13 den/die angefor- 
derten Rechendienst(e) ausfuhren. Falls die Vorrichtung 13 
verarbeitete Daten, welche wahrend den Rechenvorgangen 
erzeugt wurden, an die Vorrichtung 12(m) als Client zuriick- 
senden soli, erzeugt die Vorrichtung 13 zusatzlich eines oder 
mehrere Antwortnachrichtenpakete, welche die verarbeite- 
ten Daten enthalten und iibertragt das/die Paket(e) iiber das 
Internet 14 an den ISP 11. Der ISP 11 iibertragt daraufhin 
das/die Nachrichtenpaket(e) an die Vorrichtung 12(m). Ent- 
sprechende Operationen konnen durch die Vorrichtungen 
12(m) und 13, dem ISP 11 und dem Internet 14 in Verbin- 
dung mit anderen Arten von Diensten ausgefiihrt werden, 
welche durch die Server- Vorrichtungen 13 bereitgestellt 
werden konnen. 

Wie oben angemerkt wurde, enthalt jedes Nachrichtenpa- 
ket, welches durch die Vorrichtungen 12(m) und 13 zur 
tibertragung iiber das Internet 14 erzeugt wird, eine Ziel- 
adresse,welche von den Schaltungsknoten verwendet wird, 
um das jeweilige Nachrichtenpaket an die geeignete Ziel- 
vorrichtung zu leiten. Adressen im Internet haben die Form 
von "n"-Bit Zahlen (wobei "n" beim gegenwartigen Stan- 
dard 32 oder 128 sein kann). Um insbesondere einen Bedie- 
ner einer Vorrichtung 12(m) von der Notwendigkeit zu be- 
freien, sich spezifische Zahlenkolonnen bzw. Zahlen-Inter- 
netadressen zu merken und diese der Vorrichtung 12(m) ein- 
zugeben, um die Erzeugung eines Nachrichtenpakets zur 
Ubertragung iiber das Internet einzuleiten, stellt das Internet 
einen zweiten Adressierungsmechanismus zur Verfiigung, 
welcher einfacher durch menschliche Bediener der jeweili- 
gen Vorrichtungen handhabbar ist. Bei diesem Adressie- 
rungsmechanismus werden Internet-Domains, wie etwa 
LANs, Intemet-Service-Provider (ISPs) und ahnliche, wel- 
che in bzw. mit dem Internet verbunden sind, durch relativ 
einfach les- und merkbare Namen, sog. Klartextnamen, 
identifiziert. Dabei soil sich hier die Bezeichnung "Klartext- 
name" auf jede Art von Namenslext beziehen, z. B. auch auf 
Abkiirzungen, generische Bezeichnungen, Phantasiebe- 
griffe, etc. Um das System der Klartexl-Domainnamen um- 
zusetzen, ist der ISP 11. mit einem Namen-Server 17 (der 
auch als ein DNS Server (Domain Name Server) bezeichnet 
werden kann) verbunden, welcher die Klartext-Domainna- 
men auflosen bzw. in eine giiltige Intemetadresse umwan- 
deln kann, um die geeignete Intemetadresse fiir das in dem 
jeweiligen Klartextnamen angegebene Ziel bereitzustellen. 
Im allgemeinen kann der Namen-Server ein Teil des ISP 11 
Oder damit direkt verbunden sein, wie es in Fig. 1 gezeigt 
ist, oder er kann eine bestimmte Vorrichtung sein, welche 
durch den ISP iiber das Internet zuganglich ist. JedenfaUs 
wenn sich die Vorrichtung 12(m) bei dem ISP 11 wahrend 
einer Kommunikationssitzung einloggt, wird der ISP 11, 
wie oben hingewiesen wurde, verschiedene Intemet-Proto- 
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kollparameter (IP-Parameter) zuordnen, welche die Vorricb- 
tung 12(m) wahrend der Kommunikationssitzung verwen- 
det, und welche in dem Intemetparameterspeicher 25 ge- 
speichen sind. Diese IP-Parameter enthalten Informationen, 
wie 

(a) eine Intemetadresse fiir die Vorrichtung 12(m), 
welche die Vorrichtung 12(m) wahrend der Kommu- 
niationssitzung identifiziert; und 

(b) die Identifizierung eines Namen-Servers 17, wel- 
chen die Vorrichtung 12(m) wahrend der Kommunika- 
tionssitzung verwendet. 

Wenn die Vorrichtung 12(m) Nachrichtenpakete zur 
Obertragung erzeugt, fiigt sie ihre Intemetadresse (obiger 
Punkt (a)) als die Quellenadresse ein. Die Vorrichtung (en) 

13, welche die jeweiligen Nachrichtenpakete empfangt/ 
empfangen, kann/konnen die Quellenadresse aus den Nach- 
richtenpaketen, welche von der Vorrichtung 12(m) empfan- 
gen werden, in Nachrichtenpaketen verwenden, welche die 
Vorrichtung(en) 13 zur Ubertragung an die Vorrichtung 
12(m) erzeugt/erzeugen, so daB das Internet in der Lage ist, 
die durch die jeweilige Vorrichtung 13 erzeugten Nachrich- 
tenpakete an die Vorrichtung 12(m) zu leiten. Falls die Vor- 
richtung 12(m) auf den Namen-Server 17 iiber das Intemet 
14 zugreift, hat die durch den ISP 11 bereitgestellte Identifi- 
zierung des Namen-Servers 17 (siehe oben unter (b)) die 
Form einer Zahlen-Intemetadresse, welche es der Vorrich- 
tung 12(m) ermoglicht, fUr den Namen-Server 17 Nachrich- 
ten zu erzeugen, welche eine Auflosung der Klartext-Inter- 
netadressen in Zahlen-Interaetadressen anfordem. Der ISP 
11 kann der Vorrichtung 12(m) auch andere IP-Parameter 
zuordnen, wenn diese sich beim ISP 11 einloggt, beispiels- 
weise die Identifizierung einer Verbindung zu dem Intemet 

14, welche fiir Nachrichten zu verwenden ist, die durch die 
Vorrichtung 12(m) iibersandt werden, insbesondere falls der 
ISP 11 Mehrfach-Gateways aufweist. In der Kegel speichert 
die Vorrichtung 12(m) die Intemetparameter im Intemetpa- 
rameterspeicher 25 ftir die Verwendung wahrend der Kom- 
munikationssitzung. 

Wenn ein Bediener die Vorrichtung 12(m) veranlassen 
mochte, daB sie ein Nachrichtenpaket an eine Vorrichtung 
13 ubertragt gibt der oder die Bediener(in) die Intemet- 
adresse der Vorrichtung 13 an die Vorrichtong 12(m) iiber 
die Bedienerschnittstelle 20 ein, sowie eine Information 
oder die Identifizierung der in der Vorrichtung 12(m) aufbe- 
wahrten Information, welche in der Nachricht iiberragen 
werden sollen. Die Bedienerschnittstelle 20 aktiviert darauf- 
hin den Paketgenerator 22 zur Freigabe der benotigten Pa- 
kete zur Obertragung durch den ISP 11 uber das Intemet 14. 
Falls 

(i) der Bediener die Zahlen-Intemetadresse bereitge- 
stellt hat, Oder 

(ii) der Bediener die Klartext-Intemetadresse bereitge- 
stellt hat, aber der Paketgenerator 22 bereits die Zah- 
len-Intemetadresse besitzt, welche der durch den Be- 
diener eingegebenen Klartext-Intemetadresse ent- 
spricht, 

kann der Paketgenerator 22 unmittelbar nach Aktivierung 
durch die Bedienerschnittstelle 20 die Pakete erzeugen und 
diese an die Netzwerkschnittstelle 21 zur tJbertragung an 
den ISP 11 liefem. 

Falls aber der Bediener die Klartext-Intemetadresse der 
Vorrichtung 13, an welche die Pakete zu ubertragen sind, 
eingegeben hat, und falls der Paketgenerator 22 die entspre- 
chende Zahlen-Intemetadresse davon nicht bereits besitzt. 



ermoglicht es der Paketgenerator 22, daB die Netzwerk- 
adresse von dem Namen-Server 17, der in dem IP-Parame- 
terspeicher 25 identifiziert ist, erhalten wird. 

Bei diesem Vorgang wird der Paketgenerator 22 anfang- 
5 lich den Namen-Server 17 kontaktieren, um zu versuchen, 
die geeignete Zahlen-Intemetadresse von dem Namen-Ser- 
ver 17 zu erhalten. Bei diesem Vorgang wird die Vorrichtung 
12(m) geeignete Nachrichtenpakete zur Ubertragung an den 
Namen-Server 17 unter Verwendung der Zahlen-Intemet- 

10 adresse des Namen-Servers 17 erzeugen, welche durch den 
ISP 11 bereitgestellt wird, wenn sich die Vorrichtung 12(m) 
zu Beginn der Kommunikationssitzung einloggt. Jedenfalls 
wenn der Namen-Server 17 die Zahlen-Intemetadresse fiir 
den Klartextnamen besitzt oder erhalten kann, wird der Na- 
ts men-Server 17 die Zahlen-Intemetadresse an die Vorrich- 
tung 12(m) iibermitteln. Die Zahlen-Intemetadresse wird 
durch den Paketgenerator 22 iiber die Netzwerkschnittstelle 
21 und den Paketempfanger und -prozessor 23 empfangen. 
Nachdem der Paketgenerator 22 die Zahlen-Intemetadresse 

20 empfangen hat, kann er die notwendigen Nachrichtenpakete 
zur "Obertragung an die Vorrichtung 13 durch die Netzwerk- 
schnittstelle 21 und den ISP 11 erzeugen. 

Wie oben ausgefiihrt wurde, ist in Fig. 1 eine der Vorrich- 
tungen 13, welche an das Intemet 14 angeschlossen sind, ein 

25 virtuelles privates Netzwerk 15, wobei das virtuelle private 
Netzwerk 15 eine Firewall bzw. ein Firewall-System 30, 
mehrere als Server 31(s) gekennzeichnete Vorrichtungen 
und einen Namen-Server 32 aufweist, die durch eine tJber- 
tragungsverbindung 33 miteinander verbunden sind. Die 

30 Server 31(s), die Firewall 30 und der Namen-Server 32 kon- 
nen als z. B. in einem LAN oder WAN verbundene Vorrich- 
tungen untereinander Information in Form von Nachrichten- 
paketen austauschen. Da die Firewall 30 mit dem Intemet 14 
verbunden ist und dariiber Nachrichtenpakete empfangen 

35 kann, hat sie auch eine Intemetadresse. Zusatzlich haben 
wenigstens die Server 31(s), welche iiber das Internet zu- 
ganglich sind, auch jeweilige Intemetadressen. Dabei dient 
der Namen-Server 32 der Umwandlung von Klartext-Inter- 
netadressen fiir die Server 31(s) innerhalb des virtuellen pri- 

40 vaten Netzwerkes 15 in die jeweiligen Zahlen-Intemetadres- 
sen. 

Im aUgemeinen wird das virtuelle private Netzwerke 15 
von einem Untemehmen, einem Regierungsamt, einer Orga- 
nisation Oder ahnUchem gehalten, welche mochten, daB die 

45 Server 31(s) Zugriff auf andere Vorrichtungen auBerhalb des 
virtuellen privaten Netzwerkes 15 haben und an diese Infor- 
mation iiber das Intemet 14 iibertragen konnen, aber welche 
ebenfalls mochten, daB der Zugriff an die Server 31(s) durch 
Vorrichtungen 12(m) und andere exteme Vorrichtungen 

50 iiber das Intemet 14 in einer kontrollierten Weise begrenzt 
ist. Die Firewall 30 dient dazu, den Zugriff durch Vorrich- 
tungen auBerhalb des virtuellen privaten Netzwerkes 15 auf 
Server 31(s) innerhalb des virtuellen privaten Netzwerkes 
15 zu kontrollieren. Bei diesem Vorgang stellt die Firewall 

55 30 auch die Verbindung zum Intemet 14 her und empfangt 
Nachrichtenpakete dariiber zur Ubertragung an einen Server 
31(s). Falls das Nachrichtenpaket angibt, daB die Quelle des 
Nachrichtenpaketes einen Zugriff auf einen bestimmten Ser- 
ver 31(s) anfordert, und falls die Quelle fiir den Zugriff an 

60 den Server 31 (s) authorisiert ist, sendet die Firewall 30 das 
Nachrichtenpaket iiber die Ubertragungsverbindung 33 an 
den Server 31(s). FaUs andererseits die Quelle nicht authori- 
siert ist, auf den Server 31(s) zuzugreifen, wird die Firewall 
30 das Nachrichtenpaket nicht an den Server 31(s) iibersen- 

65 den, und kann anstelle ein Antwormachrichtenpaket an die 
Quellenvorrichtung iibermitteln, welches angibt, daB die 
Quelle nicht fur den Zugriff an den Server 31(s) authorisiert 
ist. Die Firewall kann ahnlich aufgebaut sein wie die ande- 
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ren Vorrichtungen 31(s) in dem virtuellen privaten Netz- 
werk 15, wobei zusatzlich eine oder mehrere Verbindungen 
niit dem Internet vorhanden sind, welche allgemein durch 
das Bezugszeichen 43 gekennzeichnet sind. 

Kommunikationen zwischen Vorrichtungen auBerhalb 5 
des virtuellen privaten Netzwerkes IS, z. B. der Vorrichtung 
12(m), und einer Vorrichtung, z. B. einem Server 31(s), in- 
nerhalb des virtuellen privaten Netzwerkes 15 kann uber ei- 
nen Sicherheitstunnel zwischen der Firewall 30 und der ex- 
temen Vorrichtung, wie es oben beschrieben ist, erreicht to 
werden, damit die ausgetauschten Information geheim blei- 
ben, wahrend diese iiber das Internet 14 und durch den ISP 
11 iibertragen werden. Ein Sicherheitstunnel zwischen der 
Vorrichtung 12(m) und dem virtuellen privaten Netzwerk 15 
ist in Fig. 1 durch logische Verbindungen dargestellt, welche 15 
durch die Bezugszeichen 40, 42 und 44 gekennzeichnet 
sind; es versteht sich, daB die logischen Verbindung 42 eine 
der logischen Verbindungen 41 zwischen dem ISP 11 und 
dem Internet 14 und die logische Verbindung 44 eine der lo- 
gischen Verbindungen 43 zwischen dem Internet 14 und der 20 
Firewall 30 umfaBt. 

Der Aufbau eines Sicherheitstunnels kann durch eine 
Vorrichtung 12(m), die extern zu dem virtuellen privaten 
Netzwerk 15 ist, ausgelost werden. Bei diesem Vorgang er- 
zeugt die Vorrichtung 12(m) in Reaktion auf eine AufForde- 25 
rung durch denen Bediener ein Nachrichtenpaket zur 0ber- 
tragung durch den ISP 11 und das Internet 14 an die Firewall 
30, welches den Aufbau eines Sicherheitstunnels zwischen 
der Vorrichtung 12(m) und der Firewall 30 anfordert. Das 
Nachrichtenpaket kann an eine bestimmte Zahlen-Intemet- 30 
adresse gerichtet sein, welche der Firewall 30 zugeordnet ist 
und welche fiir Sicherheitstunnelaufbauanfragen reserviert 
ist, und welche femer der Vorrichtung 12(m) bekannt ist und 
durch den Namen-Server 17 bereitgestellt wird. Falls die 
Vorrichtung 12(m) authorisiert ist, auf einen Server 31(s) in 35 
dem virtuellen privaten Netzwerk 15 zuzugreifen, nehmen 
die Vorrichtung 12(m) als Client und die Firewall 30 einen 
Dialog auf, welcher den Austausch von einem oder mehre- 
ren Nachrichtenpaketen iiber das Internet 14 umfaBt. Wah- 
rend des Dialogs kann die Firewall 30 der Vorrichtung 40 
12(m) die Identifizierung eines Entschliisselungsalgorith- 
mus und einen zugehorigen EntscHliisselungsschliissel be- 
reitstellen, welche die Vorrichtung 12(m) beim Entschliis- 
seln der verschlusselten Abschnitte der Nachrichtenpakete 
zu verwenden hat, welche das virtueUe private Netzwerk an 45 
die Vorrichtung 12(m) iibertragt. Zusatzlich dazu kann die 
Firewall 30 der Vorrichtung 12(m) auch die Identifizierung 
eines VerschlUsselungsalgorithmus und einen zugehorigen 
Verschlusselungsschliissel bereitstellen, welche die Vorrich- 
tung 12(m) beim Verschliisseln der Abschnitte der Nach- 50 
richtenpakete zu verwenden hat, welche die Vorrichtung 
12(m) an das virtuelle private Netzwerk 15 ubertragt und 
welche verschliisselt werden soUen. Altemativ dazu kann 
die Vorrichtung 12(m) die Identifizierung des Verschliissel- 
ungsalgorithmus und des Verschlusselungsschlussels, wel- 55 
che die Vorrichtung 12(m) verwenden wird, an die Firewall 
30 wahrend des Dialogs liefem. Die Vorrichtung 12(m) 
kann in ihrem IP-Parameterspeicher 25 Informationen be- 
treffend den Sicherheitstunnel speichem, einschlieBUch der 
Information in Verbindung mit der Identifizierung der Fire- 60 
waU 30 und der Identifizierungen der Verschliisselungs- und 
Entschliisselungsalgorithmen und dazugehdriger Schlussel 
fiir Nachrichtenpakete, welche durch den Sicherheitstunnel 
iibertragen werden. 

Sodann konnen die Vorrichtung 12(m) und die Firewall 65 
30 Nachrichtenpakete iiber den Sicherheitstunnel iibertra- 
gen. Beim Erzeugen von Nachrichtenpaketen zur Ubertra- 
gung iiber den Sicherheitstunnel verwendet die Vorrichtung 
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12(m) den Sichertieits-Paketprozessor 26, um die Ab- 
schnitte der Nachrichtenpakete zu verschlussebi, weLche vor 
der Obertragung durch die Netzwerkschnittstelle 21 an den 
ISP 11 zur Ubertragung uber das Internet 14 an die Firewall 
30 verschlusselt werden sollen, und um die verschlusselten 
Abschnitte der Nachrichtenpakete zu entschliisseln, welche 
durch die Vorrichtung 12(m) empfangen werden und welche 
verschliisselt sind. Insbesondere nachdem der Paketgenera- 
tor 22 ein Nachrichtenpaket zur Ubertragung an die Firewall 
30 uber den Sicherheitstunnel erzeugt hat, liefert er das 
Nachrichtenpaket an den Sicherheits-Paketprozessor 26. 
Der Sicherheits-Paketprozessor 26 verschlusselt daraufhin 
die Abschnitte des Nachrichtenpakets, welche verschliisselt 
werden sollen, unter Verwendung des Verschliisselungsal- 
gorithmus und des Verschlusselungsschlussels. Nachdem 
die Firewall 30 ein Nachrichtenpaket von der Vorrichtung 
12(m) iiber den Sicherheitstunnel empfangen hat, wird sie 
dieses entschliisseki und, falls der beabsichugte Empfanger 
des Nachrichtenpakets eine andere Vorrichtung, z. B. ein 
Server 31(s), in dem virtuellen privaten Netzwerk 15 ist, 
wird die Firewall 30 das Nachrichtenpaket an diese andere 
Vorrichtung uber die Ubertragungsverbindung 33 iiberUra- 
gen. 

Wenn ein Nachrichtenpaket von einer Vorrichtung, z. B. 
einem Server 31(s), in dem virtuellen privaten Netzwerk 15 
an die Vorrichtung 12(m) iiber den Sicherheitstunnel iiber- 
tragen werden soil, empfangt die Firewall 30 ein solches 
Nachrichtenpaket iiber die tTbertragungsverbindung 33 und 
verschlusselt das Nachrichtenpaket zur tjbertragung iiber 
das Internet 14 an den ISP 11. Der ISP 11 sendet daraufhin 
das Nachrichtenpaket an die Vorrichtung 12(m), insbeson- 
dere an deren Netzwerkschnittstelle 21. Die Netzwerk- 
schnittstelle 21 liefert das Nachrichtenpaket an den Sicher- 
heits-Paketprozessor 26, welcher die verschliisselten Ab- 
schnitte des Nachrichtenpakets unter Verwendung des Ent- 
schliisselungsalgorithmus und -schliissels entschliisselt. 

Ein Problem tritt auf im Zusammenhang mit ZugriflFen 
durch eine Vorrichtung, z. B. einer Vorrichtung 12(m), wel- 
che extern zum virtuellen privaten Netzwerk 15 ist, und ei- 
ner Vorrichtung, z. B. einem Server 31(s), welche extern zu 
der Firewall ist, namlich dann, wenn dem Namen-Server 17 
keine Zahlen-Intemetadressen fiir die Server 31(s) und an- 
dere Vorrichtungen bereitgestellt sind, die sich innerhalb des 
virtuellen privaten Netzwerkes 15 befinden — mit Ausnahme 
der Zahlen-Intemetadressen, welche der Firewall 30 zuge- 
ordnet sind. Folglich wird die Vorrichtung 12(m) nach Ein- 
gabe der Klartext-Intemetadresse durch den Bediener nicht 
in der Lage sein, die Zahlen-Intemetadresse des Servers 
31(s) zu erhalten, wenn er auf den Namen-Server 17 zu- 
greift. 

Wenn die Vorrichtung 12(m) und die Firewall 39 zusam- 
menarbeiten, um einen dazwischenliegenden Sicherheits- 
tunnel aufzubauen, liefert die Firewall 30 zur Behebung des 
obigen Problems an die Vorrichtung 12(m) zusatzlich zu 
mbglichen Identifikationen der Verschliisselungs- und Ent- 
schliisselungsalgorithmen und -schlussehi, welche im Zu- 
sammenhang mit der "Obertragung der Nachrichtenpakete 
iiber den Sicherheitstunnel zu verwenden sind, an die Vor- 
richtung 12(m) auch die Identifizierung eines Namen-Ser- 
vers, z. B. eines Namen-Servers 32, innerhalb des virtuellen 
privaten Netzwerkes 15, auf welchen die Vorrichtung 12(m) 
zugreifen kann, um die geeigneten Zahlen-Intemetadressen 
fur die Klartext-Intemetadressen zu erhalten, welche durch 
den Bediener einer Vorrichtung 12(m) eingegeben werden. 
Die Identifizierung des Namen-Servers 32 wird ebenfalls in 
dem IP-Parameterspeicher 25 gespeichert, zusammen mit 
der Identifizierung des Namen-Servers 17, welche durch den 
ISP 11 bereitgestellt wurde, sobald die Vorrichtung 12(m) 
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beim ISP 11 zu Beginn einer Kommunikationssitzung ein- 
geloggt wurde. Wenn daher die Vorrichtung 12(m) ein 
Nachrichtenpaket an eine Vorrichtung, z. B. einen Server 
31(s), in dem virtuellen privaten Netzwerk 15 unter Verwen- 
dung einer Klartext-Intemetadresse iibertragen mochte, wel- 5 
che z. B. durch einen Bediener bereitgestellt bzw. eingege- 
ben wurde, greift die Vorrichtung 12(m) zu Beginn auf den 
Namen-Server 17 zu, wie es oben beschrieben wurde, um zu 
versuchen, die zu der Klartext-Intemetadresse zugehorige 
Zahlen-Intemetadresse zu erhalten. Da der Namen-Server lo 
17 auBerhalb des virtuellen privaten Netzwerkes 15 ist and 
die durch die Vorrichtung 12(m) angeforderten Information 
nicht besitzt, sendet er ein entsprechend lautendes Antwort- 
nachrichtenpaket. Die Vorrichtung 12(m) wird sodann ein 
Anfragenachrichtenpaket zur Obertragung an den Namen- 15 
Server 32 durch die Firewall 30 und iiber den Sicherheits- 
tunnel erzeugen. Falls der Namen-Server 32 eine Zahlen-In- 
temetadresse besitzt, welche zu der Klartext-Intemetadresse 
in dem Anfragenachrichtenpaket gehort, welches durch die 
Vorrichtung 12(m) geliefert wird, stellt er die Zahlen-Inter- 20 
netadresse in einer Weise bereit, welche im allgemeinen der- 
jenigen ahnlich ist, welche oben im Zusammenhang mit 
dem Namen-Server 17 beschrieben wurde mit der Aus- 
nahme, daB die Zahlen-Intemetadresse durch den Namen- 
Server 32 in einem an die Firewall 30 gerichteten Nachrich- 25 
tenpaket geliefert wird, und die Firewall 30 sodann das 
Nachrichtenpaket iiber den Sicherheitstunnel an die Vorrich- 
tung 12(m) ubermittelt. Es versteht sich, daB sich in dem 
Nachrichtenpaket, welches durch die Firewall 30 iibertragen 
wird, die Zahlen-Intemetadresse in dem Nachrichtenpaket 30 
im Datenabschnitt des Nachrichtenpakets befindet, welches 
iiber den Sicherheitstunnel iibertragen wird und entspre- 
chend verschliisselt sein wird. Das Nachrichtenpaket wird 
durch die Vorrichtung 12(m) in einer ahnUchen Weise verar- 
beitet, wie sie oben im Zusammenhang mit anderen Nach- 35 
richtenpaketen beschrieben wurde, welche durch die Vor- 
richtung 12(m) iiber den Sicherheitstunnel empfangen wer- 
den. Das heiBt, daB das Nachrichtenpaket durch den Sicher- 
heits-Paketprozessor 26 vor dem Ubermitteln an den Paket- 
empfanger und -prozessor 23 zur Verarbeitung entschliissell 40 
wird. Die Zahlen-Intemetadresse fiir den Server 31(s) kann 
in einem Cache in einer Zugriffskontrolliste (ACL) in dem 
IP-Parameterspeicher 25 gespeichert werden, zusammen 
mit der Zuordnungsinformation bezuglich der zugehorigen 
Klartext-Intemetadresse, einer Angabe, daB der Server 45 
31(s), der dieser Klartext-Intemetadresse zugeordnet ist, 
iiber die Firewall 30 des virtuellen privaten Netzwerites 15 
zugangUch isL, und die Identifizierungen der Verschliissel- 
ungs- und Entschliisselungsalgorithmen und -schliissel, wel- 
che fiir eine Verschliisselung und Entschliisselung der geeig- 50 
neten Abschnitte der Nachrichtenpakete zu verwenden sind, 
welche an den Server 31(s) iibertragen und von diesem er- 
halten werden. 

Es versteht sich, daB in Reaktion auf ein Nachrichtenpa- 
ket von der Vorrichtung 12(m), welches beim Namen-Server 55 
32 die Bereitstellung einer 2^hlen-Intemetadresse fiir eine 
durch die Vorrichtung 12(m) angegebene Klartext-Intemet- 
adresse anfordert, falls der Namen-Server 32 keine Zuord- 
nungsinformation zwischen der Klartext-Intemetadresse 
und einer Zahlen-Intemetadresse besitzt, der Namen-Server 60 
32 ein Antwortnachrichtenpaket, das entsprechend lautet, 
iibertragen kann. Falls die Vorrichtung 12(m) eine Identifi- 
ziemng von anderen Namen- Servem besitzt, welche z. B. 
mit anderen virtuellen privaten Netzwerken (nicht gezeigt) 
verbunden sein konnen und zu welchen die Vorrichtung 65 
12(m) Zugriff hat, dann kann die Vorrichtung 12(m) versu- 
chen, auf die anderen Namen-Server in einer ahnlichen 
Weise, wie es oben beschrieben ist, zuzugreifen. Falls die 



Vorrichtung 12(m) nicht in der Lage ist, eine Zahlen-Inter- 
netadresse, welche der Klartext-Intemetadresse zugeordnet 
ist, von irgendeinem der Namen-Server zu erhalten, zu wel- 
chem sie ZugrifF hat und welche im allgemeinen im IP-Para- 
meterspeicher 25 der Vorrichtung 12(m) identifiziert sind, 
wird sie allgemein nicht in der Lage sein, auf eine Vorrich- 
tung mit der vorgegebenen Klartext-Intemetadresse zuzu- 
greifen und wird den Bediener oder ein Programm, welche 
den ZugrifF angefordert haben, dementsprechend unterrich- 
ten. 

Mit diesem Hintergrund werden nun Operationen, welche 
durch die Vorrichtung 12(m) und das virtuelie private Netz- 
werk 15 in Verbindung mit der vorliegenden Erfindung 
durchgefuhrt werden, im Detail beschrieben. Im allgemei- 
nen laufen die Operationen in zwei Phasen ab. In einer er- 
sten Phase arbeiten die Vorrichtung 12(m) und das virtuelie 
private Netzwerk 15 zusammen, um einen Sicherheitstunnel 
durch das Intemet 14 aufzubauen. In dieser ersten Phase lie- 
fert das virtuelie private Netzwerk 15, insbesondere die Fi- 
rewall 30, die Identifizierung eines Namen-Servers 32, und 
es kann auch die den Verschliisselungs- und Entschliissel- 
ungsalgorithmus und -schliissel betreffende Information be- 
reitstellen, wie es oben beschrieben wurde. In der zweiten 
Phase, nachdem der Sicherheitstunnel eingerichtet wurde, 
kann die Vorrichtung 12(m) die wahrend der ersten Phase 
gelieferten Information im Zusammenhang mit der Erzeu- 
gung und Ubertragung von Nachrichtenpaketen an einen 
Oder mehrere Server 31 (s) in dem virtuellen privaten Netz- 
werk 15 und bei dem notwendigen Umwandlungsvoigang 
der Klartext-Intemetadressen zu Zahlen-Intemetadressen 
aus dem Namen-Server 32, welcher durch die Firewall 30 
wahrend der ersten Phase identifiziert wurde, verwenden. 

Folglich erzeugt die Vorrichtung 12(m) in der ersten (Si- 
cherheitstunnelaufbau)phase zu Beginn ein Nachrichtenpa- 
ket zur Ubertragung an die Firewall 30, welches einen Auf- 
bau eines Sicherheitstunnels anfordert. Das Nachrichtenpa- 
ket enthalt eine Zahlen-Intemetadresse fiir die Firewall, 
(welche durch den Bediener der Vorrichtung oder ein Pro- 
gramm bereitgestellt werden kann, welches durch die Vor- 
richtung 12(m) verarbeitet wird, oder durch den Namen-Ser- 
ver 17 bereitgestellt werden kann, nachdem eine Klartext- 
Intemetadresse durch den Bediener oder ein Programm be- 
reitgestellt wurde), und welche insbesondere dazu dient, die 
Firewall 30 zu veranlassen, mit der Vorrichtung 12(m) einen 
Sicherheitstunnel aufzubauen. Falls die Firewall 30 die An- 
frage beziigUch des Sicherheitstunnelaufbaus akzeptiert und 
falls die Firewall 30 die Verschliisselungs- und Entschliis- 
selungsalgorithmen und -schliissel bereitstellt, so wie es 
oben angegeben wurde, erzeugt die Firewall 30 ein Ant- 
wormachrichtenpaket zur tJbertragung an die Vorrichtung 
12(m), welches die Verschliisselungs- und Entschliissel- 
ungsalgorithmen und -schliissel identifiziert. Wie oben be- 
schrieben, wird dieses Antwortnachrichtenpaket nicht ver- 
schliisselt. Wenn die Vorrichtung 12(m) die Antwort emp- 
fangt, werden die Identifizierungen der Verschliisselungs- 
und Entschliisselungsalgorithmen und -schliissel in dem IP- 
Parameterspeicher 25 gespeichert. 

Zu einem spateren Zeitpunkt in der ersten Phase erzeugt 
die Firewall 30 auch ein Nachrichtenpaket zur tjberlragung 
an die Vorrichtung 12(m), welches die Zahlen-Intemet- 
adresse des Namen-Servers 32 enthalt. Bei diesem Nach- 
richtenpaket wird der Abschnitt des Nachrichtenpakets, 
welcher die Zahlen-Intemetadresse des Namen-Servers 32 
enthalt, unter Verwendung eines Verschltisselungsalgorith- 
mus und Verschliisselungsschliissels verse hlusse It, und dies 
kann unter Verwendung des Entschlusselungsalgorithmus 
und -schliissels, die durch das zuvor beschriebene Antwort- 
nachrichtenpaket geliefert wurden, wieder entschliisselt 
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werden. Diese Nachricht hat im allgemeinen die folgende 
Struktur 

"<IIA(FW)JIA(DEV12(m)><SEC_TUN> 
<ENCR«IIA(FW).IIA(DEV_12(m)><(DNS_ADRS:IIA(- 5 
NS_2»>" 

wobei 

(i) "IIA(FW)" die QueEenadresse darstelll, d. h. eine lO 
Zahlen-Intemetadresse der Firewall 30, 

(ii) "IIA(DEV_12(m))" die Zieladresse darstellt, d. h. 
die Zahlen-Intemetadresse der Vorrichtung 12 (m), 

(iii) "DNS_ADRS:IIA(NS)" angibt, da6 
"IIA(NS_32)" die Zahlen-Intemetadresse des Namen- 15 
Servers 32 darstellt, fiir dessen Benutzung die Vorrich- 
tung 12(m) authorisiert ist, und 

(iv) "ENCR<. . . .>" bedeutet, daB die Information, 
zwischen den Klammem "<" und ">" verschliisselt ist. 

20 

Der Anfangsabschnitt der Nachricht 

"IIA(FW),IIAGDEV_12(m))>" bildet wenigstens einen Teil 
des Kopfabschnitts der Nachricht, und 
"<ENCR«IIA(FW),IIA(DEV_12(m))><IIA(NS»>" 
stellt wenigstens einen Teil des Datenabschnitts der Nach- 25 
richt dar. "<SEC_TUN>" stellt einen Hinweis in dem Kopf- 
abschnitt dar, welcher angibt, daB die Nachricht iiber den Si- 
cherheitstunnel iibertragen wird, wodurch auch angezeigt 
wird, daB der Datenabschnitt der Nachricht verschliisselte 
Information enthalt. 30 

Nachdem die Vorrichtung 12(m) die Nachricht von der 
Firewall 30 empfangt, wie es oben beschrieben wurde, und 
weil das Nachrichtenpaket den <SEC_TUN> Hinweis ent- 
halt, iibertragt deren NetzwerkschnittsteUe 21 den ver- 
schlusselten Abschnitt 35 

'■<ENCR«IIA(FW),IIAPEV_12(m)><DNS_ADRS:IIA(- 
NS_32)»>" an den Sicherheits-Paketprozessor 26 zur Ver- 
arbeitung. Der Sicherheits-Paketprozessor 26 entschliisselt 
den verschliisselten Abschnitt, bestimmt weiter, daB der Ab- 
schnitt "nA(NS_32)" die Zahlen-Intemetadresse des Na- 40 
men-Servers darstellt, insbesondere des Namen-Servers 32, 
fiir dessen Benutzung die Vorrichtung 12(m) authorisiert ist, 
und speichert diese Adresse in dem IP-Par ameterspeic her 25 
zusammen mit einer Angabe, daB die dorthin gerichteten 
Nachrichtenpakete zu der Firewall 30 zu iibertragen sind, 45 
und daB die Daten in den Nachrichtenpaketen unter Verwen- 
dung des Verschliisselungsalgorithmus und -schlussels, die 
davor durch die Firewall 30 iibermittelt wurden, zu ver- 
schliisseln sind. Es versteht sich, daB aufgmnd der Tatsache, 
daB die Zahlen-Intemetadresse des Namen-Servers 32 von 50 
der Firewall an die Vorrichtung 12(m) in verschlusselter 
Form ubertragen wird, diese vertraulich bleibt, selbst wenn 
das Paket durch einen Dritten abgefangen wird. 

In Abhangigkeit des spezieUen ProtokoUs, welches fur 
den Aufbau des Sicherheitstunnels verwendet wird, konnen 55 
die Firewall 30 und die Vorrichtung 12(m) auch Nachrich- 
tenpakete austauschen, welche andere Information enthalten 
als die oben beschriebenen. 

Wie oben erwahnt wurde, kann die Vorrichtung 12(m) in 
der zweiten Phase nach der Einrichtung des Sicherheitstun- 60 
nels die Information, welche wahrend der ersten Phase be- 
reitgestellt wurde, im Zusammenhang mit dem Erzeugen 
und Ubertragen von Nachrichtenpaketen zu einem oder 
mehreren der Server 31(s) in dem virtuellen privaten Netz- 
werk 15 nutzen. Falls bei diesen Operationen der Bediener 65 
einer Vorrichtung 12(m) oder ein Programm, welches durch 
eine Vorrichtung 12(m) verarbeitet wird, mochte, daB die 
Vorrichtung 12(m) ein Nachrichtenpaket an einen Server 
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31(s) in dem virtuellen privaten Netzwerk 15 ubertragt, und 
falls der Bediener durch die BedienerschnittsteUe 20 oder 
das Programm eine Klartex't-Intemetadresse bereitsteUt, 
wird zunachst die Vorrichtung 12(m), insbesondere der Pa- 
ketgenerator 22, bestimmen, ob der IP-Parameterspeicher 
25 dort in einem Cache eine Zahlen-Intemetadresse gespei- 
chert hat, welche zu der Klartext-Intemetadresse gehort. 
FaUs dies nicht der Fall ist, erzeugt der Paketgenerator 22 
ein Anfragenachrichtenpaket zur Ubertragung an den Na- 
men-Server 17, um von diesem die zu der Klartext-Intemet- 
adresse gehorige Zahlen-Intemetadresse anzufordem. Falls 
der Namen-Server 17 eine zu der Klartext-Intemetadresse 
gehorige Zahlen-Intemetadresse besitzt, wird dieser die 
Zahlen-Intemetadrese an die Vorrichtung 12(m) hefem. Es 
versteht sich, daB dies nur erfolgen kann, wenn die Klartext- 
Intemetadresse im Anfragenachrichtenpaket sowohl einer 
Vorrichtung 13 auBerhalb des virtuellen privaten Netzwer- 
kes 15 als auch einem Server 32(s) in dem virtuellen priva- 
ten Netzwerk 15 zugeordnet wurde. Danach kann die Vor- 
richtung 12(m) die Zahlen-Intemetadresse verwenden, um 
Nachrichtenpakete zur LFbertragung uber das Internet zu er- 
zeugen, wie es oben beschrieben wurde. 

Falls andererseits angenommen wird, daB der Namen- 
Server 17 keine der Klartext-Intemetadresse zugeordnete 
Zahlen-Intemetadresse besitzt, wird der Namen-Server 17 
ein entsprechend lautendes Antwortnachrichtenpaket an die 
Vorrichtung 12(m) iibermitteln. Sodann erzeugt der Paket- 
generator 22 der Vorrichtung 12(m) ein Anfragenachrich- 
tenpaket zur Obertragung an den nachsten Namen-Server, 
der in ihrem IP-Parameterspeicher 25 identifiziert ist, um 
von diesem Namen-Server die der Klartext-Intemetadresse 
zugeordnete Zahlen-Intemetadresse anzufordem. Falls die- 
ser nachste Namen-Server der Namen-Server 32 ist, liefert 
der Paketgenerator 22 das Nachrichtenpaket an den Sicher- 
heits-Paketprozessor 26 zur weiteren Verarbeitung. Der Si- 
cherheits-Paketprozessor 26 erzeugt daraufhin ein Anfi-a- 
genachrichtenpaket zur tlbertragung iiber den Sicherheits- 
tunnel an die Firewall 30. Diese Nachricht hat im allgemei- 
nen folgende Stmktur: 

"<IIA(DEV_12(m)),IIA(FW)><SEC_TUN> 
<ENCR«IIA(DEV_12(m)),IIA(NS_32))><IIA_REQ»>- 



wobei 

(i) "IIA(DEV_l2(m))" die Quellenadresse darstellt, 
d. h. die Zahlen-Intemetadresse der Vorrichtung 12(m), 

(ii) "IIA(FW)" die Zieladresse darstellt, d. h. die Zah- 
len-Intemetadresse der Firewall 30, 

(iii) "IIA(NS_32)" die Adresse des Namen-Servers 32 
darstellt, 

(iv) "«IIA(DEV_ 1 2(m)),IIA(NS_32))><IIA_REQ>- 
»" das Anfragenachrichtenpaket darstellt, welches 
durch den Paketgenerator 22 erzeugt wird, wobei 
"<IIA(DEV_12(ni)),IIA(NS_32)>" den Kopfabschnitt 
des Anfragenachrichtenpakets und "<IIA_REQ>" den 
Datenabschnitt des Anfragenachrichtenpakets darstellt, 

(v) "ENCR<. . . .>" angibt, daB die Information zwi- 
schen den Klammem "<" und ">" verschliisselt ist, und 

(vi) "<SEC_TTJN>" einen Hinweis in dem Kopfab- 
schnitt des Nachrichtenpakets darstellt, welches durch 
den Sicherheitspaketgenerator 26 erzeugt wird und an- 
gibt, daB die Nachricht iiber den Sicherheitstunnel 
iibertragen wird, wobei hierdurch angegeben wird, daB 
der Datenabschniu der Nachricht verschliisselte Infor- 
mation enthalt. 
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Wenn die Firewall 30 das durch den Sicherheitspaketge- 
nerator 26 erzeugte Anfragenachrichtenpaket empfangt, 
wird diese den verschlusselten Abschnitt des Nachrichten- 
pakets ' entschliisseln, um 

"«IIA(DEV_12(m))JIA(NS_32))xIIA_KEQ»" zu er- 5 
halten. Dies stellt das Anfragenachrichtenpaket dar, welches 
'--durch den Paketgenerator 22 erzeugt wird. Nachdem das 
Anfragenachrichtenpaket erhalten wurde, iibertragt die Fire- 
wall 30 dieses iiber die Ubertragungsverbindung 33 an den 
Namen-Server 32. In Abhangigkeit von dem Protokoll zur lO 
Hbertragung von Nachrichtenpaketen iiber die tJbertra- 
gungsverbindung 33 kann es bei diesem ProzeB fiir die Fire- 
wall 30 notwendig sein, das Anfragenachrichtenpaket zu 
modifizieren, damit es dem Protokoll der tibertragungsver- 
bindung 33 entspricht. is 

Nachdem der Namen-Server 32 das Anfragenachrichten- 
paket erhalten hat, wird dieser das Anfragenachrichtenpaket 
verarbeiten, um zu bestimmen, ob er eine der Klartext-Inter- 
netadresse, welche in dem Anfragenachrichtenpaket gesen- 
det wird, zugeordnete Zahlen-Intemetadresse besitzt. Falls 20 
der Namen-Server feststeUt, daB er eine solche Zahlen-Inter- 
netadresse aufweist, wird dieser ein Antwortnachrichtenpa- 
ket zur tJbertragung an die Firewall erzeugen, welches die 
Zahlen-Intemetadresse enthalt. Im allgemeinen hat das Ant- 
wortnachrichtenpaket die folgende Struktur: 25 

•■«IIA(NS_32)JIA(DEV_12(m)><IIA_RESP»" 

wobei 

30 

(i) "IIA(NS_32)" die QueUenadresse darsteUt, d. h. die 
Zahlen-Intemetadresse des Namen-Servers 32, 

(ii) "IIA(DEV_12(m))" die Zieladresse darstellt, d. h. 
die Zahlen-Intemetadresse der Vorrichtung 12(m), und 

(iii) "IIA_RESP" die Zahlen-Intemetadresse darstellt. 35 
welche der Klartext-Intemetadresse zugeordnet ist. 

Nachdem die Firewall 30 das Antwortnachrichtenpaket 
empfangen hat, und weil die Kommunikation mit der \t)r- 
richtung 12(m) iiber den dazwischenliegenden Sicherheits- 40 
tunnel slattfindel, verschliisselt die Firewall 30 das von dem 
Namen-Server 32 empfangene Antwortnachrichtenpaket 
und erzeugt ein Nachrichtenpaket zur tJbertragung an die 
Vorrichtung 12(m), welches das verschliisselte Antwort- 
nachrichtenpaket enthalt. Im allgemeinen hat das durch die 45 
Firewall 30 erzeugte Nachrichtenpaket die folgende Struk- 
tur: 

"<IIA(FW)aiA(DEV12(m)><SEC_TUN)> 
<ENCR«IIA(NS_32).IIA(DEV_1 2(m))xIIA_RESP»- 50 



wobei 

(i) "IIA(FW)" die QueUenadresse darstellt, d. h. die 55 
Zahlen-Intemetadresse der Firewall 30, 

(ii) "IIA(DEV_12(m))" die Zieladresse darsteUt, d. h. 
die Zahlen-Intemetadresse der Vorrichtung 12(m), 

(iii) "SEC_TUN" einen Hinweis in dem Kopfabschnitt 
des Nachrichtenpakets darsteUt, welches durch den Si- 60 
cherheitspaketgenerator 26 erzeugt wird, und angibt, 
daB die Nachricht iiber den Sicherheits tunnel iibertra- 
gen wird, und wobei auch angegeben wird, daB der Da- 
tenabschnitt der Nachricht verschliisselte Information 
enthalt, 65 

(iv) "ENCR< >" angibt, daB die Information zwi- 

schen den Klammem "<" und ">" (was dem von dem 
Namen-Server 32 empfangenen Antwortnachrichten- 



paket entspricht) verschliisselt ist. 

Zusatzlich kann es je nach dem ProtokoU zur tJbertra- 
gung von Nachrichtenpaketen iiber die tJbertragungsverbin- 
dung 33 fiir die FirewaU 30 notwendig sein, das Nachrich- 
tenpaket zu bearbeiten und/oder zu modifizieren, damit die- 
ses dem ProtokoU des Internets 14 entspricht. 

Wenn die Vorrichtung 12(m) das Nachrichtenpaket von 
der FirewaU 30 empfangt, wird das Nachrichtenpaket an den 
Sicherheits-Paketprozessor 26 geliefert. Der Sicherheitspa- 
ketprozessor 26 entschlusselt daraufhin den verschliisselten >^ 
Abschnitt des Nachrichtenpakets, um die der Klartext-Inter- 
netadresse zugeordnete Zahlen-Interaetadresse zu erhalten 
und ladt diese Information in den IP-Parameterspeicher 25. 
Danach kann die Vorrichtung diese Zahlen-Intemetadresse 
beim Erzeugen von Nachrichtenpaketen zur tJbertragung an 
den Server 31(s) verwenden, welcher zu der Klartext-Inter- 
netadresse gehort. 

Es versteht sich, daB, falls der Namen-Server 32 keine 
Zahlen-Intemetadresse besitzt, welche der durch die Vor- 
richtung 12(m) in dem Anfragenachrichtenpaket geUeferte 
Klartext-Intemetadresse zugeordnet ist, dies der Namen- 
Server 32 in dem durch ihn erzeugten Antwortnachrichten- 
paket entsprechend anzeigen. Die FirewaU 30 erzeugt dann 
in Reaktion auf das durch den Namen-Server 32 geUeferte 
Antwortnachrichtenpaket auch ein Nachrichtenpaket zur 
tJbertragung an die Vorrichtung 12(m), welches einen ver- 
schliisselten Abschnitt enthalt, der das Antwortnachrichten- 
paket umfafit, das durch den Namen-Server 32 erzeugt 
wurde. Nachdem die Vorrichtung 12(m) das Nachrichtenpa- 
ket empfangen hat, wird der verschliisselte Abschnitt durch 
den Sicherheitspaketprozessor 26 entschliisselt, welcher 
daraufhin den Paketgenerator 22 dariiber informiert, daB der 
Namen-Server 32 keine der Klartext-Intemetadresse zuge- 
ordnete Zahlen-Intemetadresse besitzt. FaUs der IP-Parame- 
terspeicher 25 die Identifizierung eines anderen Namen-Ser- 
vers enthalt, erzeugt sodann der Paketgenerator 22 der Vor- 
richtung 12(m) ein Anfragenachrichtenpaket zur tJbertra- 
gung an den nachsten Namen-Server, der in deren IP-Para- 
meterspeicher 25 identifiziert ist, um von diesem Namen- 
Server die Zahlen-Intemetadresse anzufordem, welche der 
Klartext-Intemetadresse zugeordnet ist. FaUs andererseits 
der IP-Parameterspeicher 25 keine Identifiziemng eines an- 
deren Namen-Servers enthalt, kann der Paketgenerator 22 
die BedienerschnittsteUe 20 oder ein Programm dariiber in- 
formieren, daB er nicht in der Lage ist, ein Nachrichtenpaket 
zur tJbertragung an eine Vorrichtung zu erzeugen, welche 
der Klartext-Intemetadresse zugeordnet ist, welche durch 
die BedienerschnittsteUe 20 oder ein Programm eingegeben 
bzw. bereitgesteUt wurde. 

Die Erfindung Uefert eine Anzahl von VorteUen. Insbe- 
sondere schafTt die Erfindung ein System zu'm Vereinfachen 
der Kommunikation zwischen Vorrichtungen, welche mit 
einem offentUchen Netzwerk verbunden sind, z. B. mit dem 
Internet 14, und Vorrichtungen, welche mit privaten Netz- 
werken verbunden sind, z. B. mit dem virtuellen privaten 
Netzwerk 15, indem die Umwandlung von Klartextadressen 
in Netzwerkadressen durch einen Namen-Server, der bevor- 
zugt iiber einen Sicherheitstunnel mit den privaten Netzwer- 
ken verbunden ist, ermogUcht wird. 

Es versteht sich, daB eine Vielzahl von Modifikationen an 
der im Zusammenhang mit Fig. 1 beschriebenen Anordnung 
durchgefiihrt werden konnen. Obwohl das Netzwerk 10 so 
beschrieben wurde, daB die Identifizierung der Verschliissel- 
ungs- und Entschliisselungsalgorithmen und -schlussel 
durch die Vorrichtung 12(m) und die Firewall 30 wahrend 
des Dialogs, wahrenddessen der Sicherheitstunnel einge- 
richtet wird, ausgetauscht wird, versteht es sich, daB bei- 
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spielsweise Information durch die Vorrichtung 12(m) und 
die Firewall 30 getrennt von dem Aufbau eines solchen Si- 
cherheitstunnels bereitgesteUt werden konnen. 

Obwohl die Erfindung im Zusammenhang mit dem Inter- 
net beschrieben wurde, versteht es sich femer, daB die Erfin- 5 
dung in Verbindung mit jedem, insbesondere globalen, 
Netzwerk verwendet werden kann. Obwohl die Erfindung 
im Zusammenhang mit einem Netzwerk beschrieben wurde, 
welches ein System von Klartext-Netzwerkadressen bereit- 
steUt, versteht es sich femer, daB die Erfindung nicht darauf 10 
beschrankt ist sondem in Verbindung mit jedem Netzwerk 
verwendet werden kann, welches iigendeine Form einer - 
den systemeigenen Netzwerkadressen ubeigeordnete - Se- 
kundar-Netzwerkadresseneinrichtung Oder vergleichbare 
nicht- formeller Netzwerkadresseneinrichtung vorsieht. is 

Es versteht sich femer, daB ein erfindungsgemaBes Sy- 
stem als ganzes oder in Teilen aus spezieU hierfiir geeigneter 
Hardware oder einem allgemein geeigneten Computersy- 
stem Oder jeder Kombination davon aufgebaut werden kann, 
wobei jeder Abschnitt davon durch ein geeignetes Pro- 20 
gramm gesteuert werden kann. Jedes Programm kann als 
ganzes oder in Teilen einen Teil des Systems umfassen oder 
auf dem System in einer konventionellen Weise gespeichert 
sein, oder es kann als ganzes oder in Teilen in das System 
iiber ein Netzwerk oder andere Mechanismen zur Ubertra- 25 
gung von Information in einer konventionellen Weise be- 
reitgesteUt werden. ZusatzUch versteht es sich, daB das Sy- 
stem betrieben und/oder auf andere Art und Weise mittels 
Information gesteuert werden kann, welche durch einen Be- 
diener mittels Bedienereingabeelementen (nicht gezeigt) be- 30 
reitgestellt wird, welche direkt an das System angeschlossen 
sein konnen oder welche die Information iiber ein Netzwerk 
oder andere Mechanismen zur Ubertragung von Information 
in einer konventionellen Weise ubertragen konnen. 

Die vorstehende Beschreibung hat sich auf ein spezifi- 35 
sches Ausfuhrungsbeispiel der Erfindung bezogen. Es ver- 
steht sich jedoch, daB verschiedene Variationen und Modifi- 
kationen der Erfindung gemacht werden konnen, bei wel- 
chen einige oder alle der Vorteile der Erfindung erreicht 
werden. Diese und andere Variationen und Modifikationen 40 
fallen in den Schutzbereich der vorliegenden Erfindung, der 
durch die nachfolgenden Anspriiche bestimmt ist. 

Patentanspriiche 

45 

1. System umfassend ein virtueUes privates Netzwerk 
(15) und cine exteme Vorrichtung (12 (m)), welche 
iiber ein digitales Netzwerk (14) kommunizieren, wo- 
bei: 

das virtueUe private Netzwerk (15) eine Firewall (30), 50 
wenigstens eine interne Vorrichtung (31(s)) und einen 
Namen-Server (32) aufweist, welche jeweils eine Netz- 
werkadresse besitzen, wobei die interne Vorrichtung 
(31(s)) auch eine Sekundaradresse besitzt und der Na- 
men-Server (32) derart konfiguriert ist, daB er eine Zu- 55 
ordnung zwischen der Sekundaradresse und der Netz- 
werkadresse bereitstellt, 

die Firewall (30) derart konfiguriert ist, daB sie der ex- 
temen Vorrichtung (12(m)) in Reaktion auf deren An- 
frage zum Aufbau einer Verbindung zur Firewall (30) 60 
die Netzwerkadresse des Namen-Servers (32) liefert, 
und 

die exteme Vorrichtung (12(m)) derart konfiguriert ist, 
daB sie in Reaktion auf eine Anfrage zum Zugriff auf 
die interne Vorrichtung (31(s)), welche die Sekunda- 65 
radresse der intemen Vorrichtung (31(s)) enthalt, eine 
Netzwerkadressen-Anfragenachricht zur Ubertragung 
iiber die Verbindung an die Firewall (30) erzeugt, wel- 
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che eine Auflosung der der Sekundaradresse zugeord- 
neten Netzwerkadresse anfordert, wobei die Firewall 
(30) derart konfiguriert ist, daB sie die Adressenauflo- 
sungsanfirage an den Namen-Server (32) iibermittelt, 
der Namen-Server (32) derart konfiguriert ist, daB er 
die der Sekundaradresse zugeordnete Netzwerkadresse 
bereitstellt, und die Firewall (30) daraufhin die Netz- 
werkadresse in einer Netzwerkadressen-Antwortnach- 
richt zur Ubertragung uber die Verbindung an die ex- 
teme Vorrichtung (12(m)) bereitstellt. 

2. System nach Anspruch 1, bei welchem die exteme 
Vorrichtung (12(m)) derart konfiguriert ist, daB sie die 
in der Netzwerkadressen-Antwortnachricht bereitge- 
steUte Netzwerkadresse beim Erzeugen von wenig- 
stens einer Nachricht zur Ubertragung an die interne 
Vorrichtung (31(s)) verwendet. 

3. System nach Anspruch 1 oder 2, bei welchem die 
exteme Vorrichtung (12(m)) derart konfiguriert ist, daB 
sie mit dem Netzwerk (14) durch einen Netzwerk-Ser- 
vice-Provider (11) verbunden wird. 

4. System nach Anspruch 3, bei welchem die exteme 
Vorrichtung (12(m)) derart konfiguriert ist, dafi sie eine 
Kommunikationssitzung mit dem Netzwerk-Service- 
Provider (11) aufbaut, wobei der Netzwerk-Service- 
Provider (11) der extemen Vorrichtung (12(m)) die 
Identifiziemng eines weiteren Namen-Servers iibermit- 
telt, wobei der weitere Namen-Server derart konfigu- 
riert ist, daB er eine Zuordnung zwischen einer Sekun- 
daradresse und einer Netzwerkadresse fur wenigstens 
eine Vorrichtung bereitstellt. 

5. System nach einem der vorstehenden Anspriiche, 
bei welchem die exteme Vorrichtung (12(m)) derart 
konfiguriert ist, daB sie eine Liste von Namen-Servem 
erhalt, welche der extemen Vorrichtung (12(m)) identi- 
fiziert wurden, und die exteme Vorrichtung (12(m)) die 
Namen-Server in der Liste nacheinander in Reaktion 
auf eine Anfrage zum Zugriff auf eine andere Vorrich- 
tung abfragt, wobei die Anfrage eine Sekundaradresse 
der anderen Vorrichtung enthalt, solange bis die ex- 
teme Vorrichtung (12(m)) eine Netzwerkadresse emp- 
fangt, wobei die exteme Vorrichtung (12(m)) in jedem 
Abfragevorgang eine Netzwerkadressen-Anfrages- 
nachricht zur Ubertragung iiber das Netzwerk (14) er- 
zeugt, welche durch einen der Namen-Server in der Li- 
ste zu beantworten ist, und von diesem eine Netzwerk- 
adressen- Antwortnachricht empfangt. 

6. System nach einem der vorstehenden Anspriiche, 
bei welchem die Verbindung zwischen der extemen 
Vorrichtung (12(m)) und der FirewaL (30) ein Sicher- 
heitstunnel ist, in welchem wenigstens ein der zwi- 
schen der extemen Vorrichtung (12(m)) und der Fire- 
wall (30) iibertragenen Nachrichten verschliisselt ist. 

7. Verfahren zum Betreiben eines Systems umfassend 
ein virtuelles privates Netzwerk (15) und eine exteme 
Vorrichtung (12(m)), welche durch ein digitales Netz- 
werk (14) miteinander verbunden sind, wobei das vir- 
tuelle private Netzwerk (15) eine Firewall (30), wenig- 
stens eine inteme Vorrichtung (31(s)) und einen Na- 
men-Server (32) aufweist, welche jeweils eine Netz- 
werkadresse besitzen, wobei die interne Vorrichtung 
(31(s)) auch eine Sekundaradresse besitzt, und der Na- 
men-Server (32) derart konfiguriert ist, daB er eine Zu- 
ordnung zwischen der Sekundaradresse und der Netz- 
werkadresse bereitstellt, wobei: 

A. in Reaktion auf eine Anfrage der extemen 
Vorrichtung (12(m)) zum Aufbau einer Verbin- 
dung zur Firewall (30) die Firewall (30) der exter- 
nen Vorrichtung (12(m)) die Netzwerkadresse des 
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Namen-Servers (32) iibermittelt; und 
B. (i) in Reaktion auf eine Anfrage zum Zugriff 
. auf die interne Vorrichtung (31(s)), welche die Se- 
kundaradresse der intemen Vorrichtung (31(s)) 
enthalt, die exteme Vorrichtung (12{m)) eine 5 
Netzwerkadressen-Anfragenachricht zur 'Dbertra- 
gung iiber die Verbindung an die Firewall (30) er- 
zeugt, welche eine Auflosung der Netzwerk- 
adresse, welche der Sekundaradresse zugeordnet 
ist, anfordert, to 
(ii) die Firewall (30) die Adressenauflosungsan- 
frage an den Namen-Server (32) ubermittelt, (iii) 
der Namen-Server (32) die der Sekundaradresse 
zugeordnete Netzwerkadresse bereitstellt, und 
(iv) die Firewall (30) die Netzwerkadresse in ei- 15 
ner Netzwerkadressen-Antwortnachricht zur 
tibertragung uber die Verbindung an die exteme 
Vorrichtung (12(m)) bereitstellt. 

8. Verfahren nach Anspruch 7, bei welchem die ex- 
teme Vorrichtung (12((m) femer die in der Netzwerk- 20 
adressen-Antwortnachricht bereitgestellte Netzwerk- 
adresse beim Erzeugen von wenigstens einer Nachricht 
zur tibertragung an die interne Vorrichtung (31(s)) ver- 
wendet. 

9. Verfahren nach Anspruch 7 oder 8, bei welchem die 25 
exteme Vorrichtung (12(m)) mit dem Netzwerk (14) 
durch einen Netzwerk-Service-Provider (11) verbun- 
den werden kann. 

10. Verfahren nach Anspruch 9, bei welchem die ex- 
teme Vorrichtung (12(m)) eine Kommunikationssit- 30 
zung mit dem Netzwerk-Service-Provider (11) aufbaut, 
wobei der Netzwerk-Service-Provider (11) der exter- 
nen Vorrichtung (12(m)) die Identifiziemng eines wei- 
teren Namen-Servers ubermittelt, wobei der weitere 
Namen-Server eine Zuordnung zwischen einer Sekun- 35 
daradresse und einer Netzwerkadresse fiir wenigstens 
eine Vorrichtung bereitstellt. 

11. Verfahren nach einem der Anspriiche 7 bis 10, bei 
welchem die exteme Vorrichtung (12(m)) eine Liste 
von Namen-Servem erhalt, welche der extemen Vor- 40 
richtung (12(m)) identifiziert wurden, und die exteme 
Vorrichtung (12(m)) die Namen-Server in der Liste 
nacheinander in Reaktion auf eine Anfrage zum Zu- 
griff auf eine andere Vorrichtung abfragt, wobei die 
Anfrage eine Sekundaradresse der anderen Vorrichtung 45 
enthalt, solange bis die exteme Vorrichtung (12(m)) 
eine Netzwerkadresse empfangt, wobei die exteme 
Vorrichtung (12(m)) in jedem Abfragevorgang eine 
Netzwerkadressen-Anfragenachricht zur Ubertragung 
iiber das Netzwerk (14) erzeugt, welche durch einen 50 
der Namen-Server in der Liste zu beantworten ist, und 
von diesem eine Netzwerkadressen-Antwortnachricht 
empfangt. 

12. Verfahren nach einem der Anspriiche 7 bis 11, bei 
welchem die Verbindung zwischen der extemen Vor- 55 
richtung (12(m)) und der Firewall (30) ein Sicherheits- 
tunnel ist, in welchem wenigstens ein Abschnitt der 
zwischen der extemen Vorrichtung (12(m)) und der Fi- 
rewall (30) ubertragenen Nachrichten verschlusselt ist. 

13. Computerprogramm-Produkt zur gemeinsamen 60 
Verwendung mit einem virtuellen privaten Netzwerk 
(15) und einer extemen Vorrichtung (12(m)), welche 
durch ein digitales Netzwerk (14) miteinander verbun- 
den sind, wobei das virtuelle private Netzwerk eine Fi- 
rewall (30), wenigstens eine interne Vorrichtung 65 
(31(s)) und einen Namen-Server (32) aufweist, welche 
jeweils eine Netzwerkadresse besitzen, wobei die in- 
terne Vorrichtung (31(s)) auch eine Sekundaradresse 



besitzt, und der Namen-Server (32) derart konfiguriert 
ist, daB er eine Zuordnung zwischen der Sekundarad- 
resse und der Netzwerkadresse bereitstellt, wobei das 
Computerprogrammprodukt ein maschinenlesbares 
Medium mit folgenden Codes aufweist: 

A. ein Namen-Server-Identifizierungscodemo- 
dul, welches veranlaBt, daB die Firewall (30) der 
extemen Vorrichtung (12(m)) in Reaktion auf de- 
ren Anfrage zum Aufbau einer Verbindung zur Fi- 
rewall (30) die Netzwerkadresse des Namen-Ser- 
vers (32) ubermittelt, 

B. ein Codemodul zur Erzeugung einer Netz- 
werkadressen-Anfragenachricht, welches veran- 
laBt, daB die exteme Vorrichtung (12(m)) in Reak- 
tion auf eine Anfrage zum Zugriff auf die inteme 
Vorrichtung (31(s)), welche die Sekundaradresse 
der intemen Vorrichtung (31(s)) enthalt, eine 
Netzwerkadressen-Anfragenachricht zur tJbenra- 
gung iiber die Verbindung an die Firewall (30) er- 
zeugt, welche die Auflosung der der Sekundarad- 
resse zugeordneten Netzwerkadresse anfordert, 

C. ein Modul zur Ubermittlung einer Adressen- 
auflosungsanfrage, welches veranlaBt, daB die Fi- 
rewall (30) die Adressenauflosungsanfrage an den 
Namen-Server (32) iibermittelt, 

D. ein Namen-Server-Steuerungsmodul, welches 
veranlaBt, daB der Namen-Server (32) die der Se- 
kundaradresse zugeordnete Netzwerkadresse be- 
reitstellt, und 

E. ein Modul zur "Dbermittlung einer Netzwerk- 
adressen-Antwortnachricht, welches veranlaBt, 
daB die Firewall (30) die Netzwerkadresse in einer 
Netzwerkadressen-Antwortnachricht zur tibertra- 
gung iiber die Verbindung an die exteme Vorrich- 
tung (12(m)) bereitstellt. 

14. Computerprogramm-Produkt nach Anspruch 13, 
welches femer ein Netzwerkadressenverwendungsmo- 
dul aufweist, welches veranlaBt, daB die exteme Vor- 
richtung (12(m)) die in der Netzwerkadressen-Ant- 
wortnachricht ubermittelte Netzwerkadresse beim Er- 
zeugen von wenigstens einer Nachricht zur tibertra- 
gung an die inteme Vorrichtung (31 (s)) verwendet. 

15. Computerprogramm-Produkt nach Anspmch 13 
oder 14; welches femer ein Netzwerk-Service-Provi- 
der-Steuemngsmodul aufweist, welches veranlaBt, daB 
die exteme Vorrichtung (12(m)) mit dem Netzwerk 
(14) durch einen Netzwerk-Service-Provider (11) ver- 
bunden wird. 

16. Computerprogramm-Produkt nach Anspmch 15, 
bei welchem das Netzwerk-Service-Provider-Steue- 
mngsmodul ein Kommunikationssitzungsaufbaumodul 
umfaBt, welches veranlaBt, daB die exteme Vorrichtung 
(12(m)) mit dem Netzwerk-Service-Provider (11) eine 
Kommunikationssitzung aufbaut und von diesem eine 
Identifiziemng von einem weiteren Namen-Server 
empfangt. 

17. Computerprogramm-Produkt nach einem der An- 
spriiche 13 bis 16, welches femer ein Namen-Server- 
AbfTBgesteuemngsmodul aufweist, welches veranlaBt, 
daB die exteme Vorrichtung (12(m)) eine Liste von Na- 
men-Servem erhalt, welche der extemen Vorrichtung 
(12(m)) identifiziert wurden, und die Namen-Server in 
der Liste nacheinander in Reaktion auf eine Anfrage 
zum Zugriff auf eine andere Vorrichtung abfragt, wobei 
die Anfrage eine Sekundaradresse der anderen Vorrich- 
tung enthalt, solange bis die exteme Vorrichtung 
(12(m)) eine Netzwerkadresse empfangt, und wobei 
die exteme Vorrichtung (12(m)) in jedem Abfragevor- 
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- gang einel"Net2werkadressen-Anfragesnachricht zur 

^ Ubertraguhg uber das Netzwerk (14) erzeugt, welche 
durch einen der Namen-Server in der Liste zu beant- 
worten ist, und von diesem eine Netzwerkadressen- 
Antwortnachricht empfangt. 5 
18. Computerprogramm-Produkt nach einem der An- 
spriiche 13 bis 17, bei welchem die Verbindung zwi- 
schen der extemen Vorrichtung (12(m)) und der Fire- 
wall (30) ein Sicherheitstunnel ist, in welchem wenig- 
stens ein Abschnitt der zwischen der extemen Vorrich- lo 
tung (12(m)) und der Firewall (30) iibertragenen Nach- 
richten verschlusselt ist. 
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